日記帳だ! with Tux on Libserver

二度目の大改造!! 日記帳…か?を継承し、より柔軟でパワフルなBlogに変身しました。

RSSに対応しています。リンク・コメント・トラックバックは自由にしていただいてほぼ問題ありません。
RSS購読方法、僕のリンク・コメント・トラックバックについての考えを読むことをおすすめします。

SMS認証も万能ではないが

Yahoo!にパスワードを取り上げられた話は何度も話題にしている。

パスワードを没収されたので

その後の認証手段はSMS認証ほとんど一本である。

一応、スマートフォンのChromeではスマートログインとか、FIDOの指紋認証も使えるが、Yahooi!アプリでは非対応である。

携帯電話紛失時の対策としてPCのメールアドレスも二次的な手段として用意してるが、使ったことはない。


SMSというと、その電話番号の携帯電話でしか受信できず、通常のE-mailとは別のネットワークということで、

わりと安全性が高そうな気がするし、そこに期待しているところは多いと思うのだが、そうでもないらしい。

Reddit、ハッカーによるユーザーデータへの不正アクセスを報告 (ZDNet Japan)

これはSMS認証を突破されて不正アクセスされた結果、バックアップデータが流出したというもの。

どうもSMSインターセプトという攻撃を受けたようで、何らかの方法でSMSを傍受したらしい。

SIMカードの紛失時の再発行時の本人確認が不十分だと、こういうことができることもあるらしい。


あと、これは非常に単純な話だけど、中間者攻撃ですね。

LINEから届くSMS認証メールには「他人には教えないでください」という表記がある。

具体的にこういう攻撃が行われているということがLINE社のWebサイトで公開されている。

【注意】 SMS認証番号を聞き出す詐欺にご注意ください (LINE公式ブログ)

ここまで具体的に書いてあるのは珍しいけど、多様な利用者のいるLINEゆえの事情もあるのだろう。

ワンタイムパスワードが中間者攻撃に脆弱なのはよく知られた話である。


この問題を緩和する方法として、こんな提案があったとか。

アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れ (engadget)

SMSに入力先のWebサイトとワンタイムパスワードを統一された記述方法で書いておけば、

適切なWebサイトであれば自動入力されるということらしい。

もし、フィッシングサイトがSMS認証を要求してきても、自動入力されないところでおかしいと気づけるということらしい。

といっても、PCで認証を要求して電話にSMSが届く場合など、自動入力が適用できないケースも多いだろうから、

これにどれだけの意味があるのかは疑問だけど。


SMSインターセプトについては、携帯電話会社がSIM発行時に本人確認を徹底すれば防げる部分が大きい。

日本では携帯電話に関する本人確認が徹底しているので大丈夫かなと思うけど、まぁ懸念はあるよね。

ただ、それを抜きにしても、SMSに極度に依存するのは問題が大きいのかなと。

パスワードを完全に取り上げて、SMSで届くワンタイムパスワードでログインするのって本当に得策なのって?

他の認証手段の補強に使うならまだ……とは思うけど。


いろいろ課題はありつつも、他の方法よりマシという利用でSMS認証は使われそうである。

一応、Yahoo!はパスワードレス化の本命はFIDOだと言っているんですけどね。

4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) (ITmediaエンタープライズ)

そういうなら、Yahoo!アプリとか、PC版WebサイトとかもFIDO対応しろよとは思いますがね。

そこは段階的対応ということなんだと思いますが、早期の対応に期待している。


Author : Hidemaro
Date : 2020/02/03(Mon) 23:39
コンピュータ・インターネット | Comment | trackback (0)

Tools