私たちの生活は、スマホやPCを使ってインターネットに接続することで成り立っていると言ってよい。この際に、単にウェブサイトを閲覧するだけなら、大した問題でもないが、メールアドレスやSNSのアカウントの保護となるとセキュリティーが重要だ。それが銀行口座やショッピングのアカウントとなると、さらに厳重なセキュリティーが必要なのは言うまでもない。
アカウントのIDやパスワードが盗まれたり、ハッキングにあうリスクを考慮して、多くのサービスが2段階認証を推奨している。しかし、面倒なので、なるべくそのオプションを選ばないようにしている。それでも、サービスによってはどうしても2段階認証を必要とするケースの多いので、その場合は渋々対応している。
最近Twitterが発表した2段階認証についての方式についての説明で、SMSを使ったコードを送る方式の2段階認証についてはリスクがあると知った。イーロン・マスクのツイートで、SMSによる2段階認証に問題があるので利用できなくするというのだ。SMSを使った2段階認証については、SIMスワップと言う方式で、アカウントが乗っ取られるリスクがあるらしい。
SIMスワップについては、ハッカーが携帯電話会社のシステムに侵入して、SIMのアカウントを乗っ取ることだと思ったら、そうでは無いようだ。ターゲットとなる人のふりをして、携帯電話会社の顧客サービスに電話をかけて、紛失などの理由を説明して、電話番号を乗っ取るようだ。確かに、携帯電話会社では経験がないが、クレジットカードなどの他の事例では、生年月日、登録電話番号など簡単な説明で本人確認ができてしまう。これで本人確認を行なって、SIMを他の電話に移してしまうようだ。また、アメリカの事例では、携帯電話会社の従業員を買収してSIMを乗っ取るケースもあったと言う。驚くほどのローテクの犯罪手口だが、これが盛んに行われているようだ。
電話番号を乗っ取ると2段階認証によるSMSで送られる認証コードは簡単に入手できてしまう。それを使って、他の方法で入手したIDとパスワードがあれば、多くのサービスのアカウントの乗っ取りが可能になる。これの有名な事例は2019年に起こった。Twitterの創業者のジャック・ドーシーのTwitterのアカウントの乗っ取りだ。他にも、多くの有名人が被害にあっている。
このようなことがSMSによる2段階認証では起こるので、イーロン・マスクは、MicrosoftやGoogleが提供している無料の認証アプリのMicrosoft AuthenticatorやGoogle Authenticatorの使用を推奨している。
SMS使用は乗っ取りのリスクがあること以外にも問題がある。ロシアのようなインターネットの監視が厳しい海外のネットワークでは、テキストが盗まれる可能性があることと、海外ではローミングでテキストを受信するためには、コストがかかるためだ。このために認証アプリの使用を推奨している。
認証アプリは携帯やパソコンにダウンロードして、Twitterなどのアカウントと紐付けた上で、使用の際に一時的な認証コードをアプリが発生させてものだ。これは銀行口座で使っており、設定してしまえば後は簡単なので、SMSで送られた4桁や6桁のコードを入力するよりも手間がかからない。
銀行口座でなくても、自分のメールやソーシャルメディアのアカウントは重要な問題だから2段階認証行った方が良いに決まっている。ただし、毎回SMSで送られてくるコードを入力するのが面倒なので、2段階認証をほとんどの場合はスキップしているが、認証アプリを使って簡単にできるのであれば行った方が良いのかもしれない。
今回のTwitterの認証アプリの使用の推奨については、不思議なことがある。Twitterの発表によれば、3月20日以降はTwitter Blueに加入していない無料のユーザは、SMSを使った2段階認証を使えなくなると言う。しかし、Twitter Blueに加入している課金ユーザについては、今まで通りSMSを使った2段階認証が可能なのだそうだ。これは、SMSの2段階認証が安全でないので、認証アプリを使うように勧めていることと、矛盾している。Twitter Blueの有料課金ユーザこそ、安全性のためにSMSによる2段階認証を取りやめるべきなのだろう。
そうしないのは多分、金を払っているユーザを怒らせたくないからだと推測するしかない。でなければ、なぜ無料ユーザだけに認証アプリなのはなぜだろうか。
そうなると、私のように、そもそも2段階認証をスキップしてしまう人も多くいる。とは言え、多くのユーザは無名であり、大した内容を発信していないので、アカウントが乗っ取られる可能性もないし、乗っ取られても大した問題は無いからなのかもしれない。
それはさておき、今後のことを考えると、重要なインターネット上のアカウントについては、認証アプリによる保護を考えた方が良いのかもしれない。
