SMS ログイン認証は非常に危険です。代替手段は何ですか?

Yahoo によれば、SMS 経由で送信されるワンタイム認証コード (OTP) は、2 要素認証プロセスの第 2 層の保護として今でも広く使用されており、ユーザーが銀行、電子メール、ソーシャル ネットワーキング アプリケーションにログインするのに役立っています。

しかし、Yahoo は、SMS はフィッシング攻撃に対して非常に脆弱であるため、最も弱いセキュリティ方法の 1 つであると警告しています。

ブルームバーグ・ビジネスウィークとライトハウス・レポートによる最近の調査で、より大きなリスクが明らかになりました。これらのワンタイムパスワード（OTP）コードは第三者にアクセスできる可能性があるのです。具体的には、スイスのあまり知られていない通信会社Fink Telecom Servicesが、2023年6月に2要素認証コードを含む100万件以上のメッセージにアクセスした事例がありました。

Fink Telecom Servicesは、認証コードを生成する企業とエンドユーザーの間の仲介者として、メッセージの内容を処理し、閲覧する権利を有しています。懸念されるのは、同社がユーザー監視活動に関与し、個人アカウントに干渉している疑いがあることです。

漏洩したOTPコードは、Google、Meta、Amazon、Tinder、Snapchat、Binance、Signal、WhatsAppといった大手企業や、ヨーロッパの多くの銀行から発信されたもので、100カ国以上のユーザーに送信されました。

Yahooによると、SMS二要素認証が安全でない主な理由は、企業が複数の通信事業者との大規模な契約や「グローバルタイトル」（国境を越えた接続に使用されるネットワークアドレス）システムを通じて、SMSメッセージを低コストで送信するために仲介業者を雇うことが多いためです。このシステムの弱点は、契約業者がFink Telecom Servicesのような企業と直接連携するのではなく、何層にも重なる下請け業者を介して連携しているため、データセキュリティの確保が複雑になることです。

Wischain Company Limitedの創設者であるファム・マン・クオン氏は、サイバー攻撃者がますます巧妙化し、セキュリティシステムの脆弱性を簡単に悪用してアクセスできるようになるため、SMSメッセージによる2要素認証方式は今日ではもはや安全ではないと説明した。

フィッシング攻撃の最も一般的な形態の 1 つは、一見信頼できるメッセージ、電子メール、または Web サイトを使用して、ユーザーを騙してユーザー名、パスワード、または OTP コードなどの機密情報を提供させるというものです。

それだけでなく、SIMスワッピングも深刻な脅威です。詐欺師は被害者の電話番号を盗み、SMSで認証コードを受け取ることができます。

さらに、多くのユーザーは、特に Android デバイスでは、出所不明のソフトウェアをインストールする習慣が依然として残っており、スパイウェアやキーロガーが密かにキーボード入力を記録し、アクセス情報を盗む可能性があります。

SMS 認証は依然として一定の保護層であると考えられていますが、モバイル ネットワークに依存しない、30 秒ごとに変わるランダムな認証コードを生成するアプリケーションである Google Authenticator などの最新の方法と比較すると、SMS はますます弱点を露呈しています。

出典: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm