SMS 認証とは?その安全性は?| Okta
SMS 認証は、SMSベースの2要素認証 (2FA) および SMS ワンタイムパスワード (OTP) とも呼ばれ、ユーザーは、テキストメッセージで送信されるてくるコードを使用して ID を検証できます。二要素認証の一種であるこの認証方法は、多くの場合、ユーザーがネットワーク、システム、またはアプリケーションにアクセスするための2つ目の検証として機能し、セキュリティを向上させるための優れた第一歩となります。
ただし、気を付けなくてはならないのは、SMS 認証は脆弱な検証方法であると広く考えられていることです。その理由について掘り下げますが、まずは SMS 認証の仕組みと、SMS 認証を使用することの長所と短所を理解しましょう。
SMS 認証の仕組み
この認証方法は、実は非常にシンプルです。サインイン後、ユーザーは SMS 認証コードが記載されたテキストメッセージを受け取ります。対象のアプリやウェブサイトでそのコードを入力するだけで、アクセスできるようになります。Amazon、Facebook、Google、Twitter、その他のサービスにログインするとき、おそらく経験されたことがあるでしょう。
SMS 認証は、所有ベースの要素として、ユーザーが所有しているもの (携帯電話など) を使用してユーザーの身元を確認します。これにより、ログインのセキュリティがさらに強化されます。理論的には、攻撃者がアカウントに不正にアクセスするには、ユーザーのパスワード と携帯電話を盗む必要があります。
SMS 認証の長所
一般的には SMS 認証からの移行が推奨されていますが、SMS 認証が使われ続けている理由がいくつかあります。
- パスワードだけよりも安全: パスワードは、ユーザーがパスワードを忘れたり、さまざまなアカウントで再利用したり、不適切な保管方法 (付箋に書くなど) が原因で盗まれたりしがちなため、本質的に脆弱です。SMS 認証は、パスワードへの依存を最小限に抑え、攻撃者がログインを盗んだりアカウントをハッキングしたりするのをより困難にします。
- 利便性: ユーザーがパスワードを再利用する理由のひとつは、作成・管理するオンラインアカウントの数が非常に多いことです。当社の調査によると、ユーザーは 毎日10個のパスワードを覚えなければならないことがわかっています。SMS 認証は、一意のコードをユーザーに直接送信し、ウェブサイトやアプリに簡単に入力して本人確認を行うことができるため、この手間が省けます。
- 2FAが無いよりはまし: 複数の情報で本人確認を行うことは、1つの要素で証明するよりも常に安全です。したがって、SMS 認証はより安全な代替手段と言えます。
SMS 認証の短所
SMS 認証は便利で使いやすいものの、欠点もいくつかあるため、組織は企業、従業員、顧客のデータを保護するのに十分かどうか疑問視する必要があります。
ここでは、覚えておくべきリスクをいくつかご紹介します。
- SIM スワッピング: 個人の携帯電話に認証コードが送信されることは安全そうに聞こえるかもしれませんが、攻撃者は SMS メッセージを傍受する方法を把握しています。たとえば、電話会社に連絡し、(SSN などのターゲットについて収集した個人情報を利用して) 番号を別の電話に転送するように要求できます。そうすることで、その電話番号に送信される SMS 認証コードにアクセスできるようになります。
- SIM ハッキング: SIMハッキングやその他の SMS またはテキストメッセージ傍受攻撃もリスクをもたらします。たとえば、攻撃者は、携帯電話の電波塔の信号や (データローミングを可能にするために使用される) SS7 システムを偽装 (スプーフィング) して、プライベートメッセージに含まれる情報を見ることができます。
- デバイスの紛失と同期:SMS 認証に頼ることは、デバイスの紛失や盗難の発生率を考えるとリスクが高く、それらのデバイスがソーシャルメディアアカウントや銀行アプリにログインしている場合はさらにリスクが高くなります。また、同期されたデバイスは、複数のスマートフォン、ラップトップ、タブレット、ウェアラブルからテキストメッセージやその他のデータにアクセスできるため、攻撃者にとって好機となります。
- オンラインアカウントの乗っ取り:多くのワイヤレスサービスプロバイダーは、ユーザーがウェブポータルでテキストメッセージを表示できるようにしています。これらのアカウントが、信頼できる2つ目の要素で保護されていない場合、攻撃者がアクセスし、SMS 認証コードを求めて監視しようとする可能性があります。
- ソーシャルエンジニアリング攻撃: 今日、 フィッシング などのソーシャルエンジニアリング攻撃は、デスクトップやノートパソコンと同様にモバイルデバイスでも蔓延しています。これは、攻撃者が信頼できる組織を装い、ターゲットに個人情報とパスワード (SMSコードを含む) を渡すように説得し、不正アクセスに利用しようとした場合に発生します。
- コスト: 上記のセキュリティリスクに加えて、企業は SMS 認証の実装コストも考慮する必要があります。料金はプロバイダーによって大きく異なり、SMS メッセージの通信量によっても変わってきます。さらに、脆弱な SMS 認証によって被る攻撃のコストは、組織にとって壊滅的なものになる可能性があります。
SMS 認証は安全か?
このような SMS 攻撃とセキュリティの問題があることを考えると、ハッカーが日々巧妙になっていることは明らかです。わずかな情報でも、携帯電話の乗っ取り、ユーザー ID のなりすまし、アカウントへのアクセスに使用される可能性があります。つまり、前述の質問の答えとして、SMS 認証は完全に安全ではありません。実際、米国国立標準技術研究所 (NIST) は、2016 年に SMS 認証の使用について反対する勧告を正式に出しました。その後、声明を修正しましたが、SMS 認証がもたらす脆弱性は依然として重大です。
SMS ベースの2FAがいまだに人気がある理由
上記で概説した SMS のセキュリティリスクは、長年にわたって 広く公に議論されてきました。それでも、2FA 用の SMS は、依然として多くの企業で広く使用されています。それはなぜでしょうか。
まず第一に、SMS 認証は導入と使用が簡単だからです。その上、顧客も従業員も、Slack へのログイン、資金の送金、Guild Wars 2 のプレイなど、さまざまなアプリケーションにアクセスするために SMS 認証を使用することに慣れてきています。エンドユーザーは、迅速でシームレスな認証体験を求めているため、必ずしもセキュリティリスクについて考慮することもなく、SMS を完璧なソリューションと見なしています。
企業が SMS 認証から脱却したい場合は、同じように使いやすい代替ソリューションが必要です。
SMS 認証の代替手段
SMS OTPソリューションは、認証をまったく実施しないよりはましです。ただし、データとユーザーを安全に保ちたい企業には、より優れた選択肢があります。
FIDO2 (WebAuthn)
FIDO2 は、ユーザー認証を簡素化し、安全に保護する規格です。フィッシング攻撃から保護するために公開鍵暗号を採用した、利用可能な唯一のフィッシング防止要素です。さらに、2019 年には、W3C (ワールドワイドウェブコンソーシアム) によって パスワードレスログインの新しいウェブ規格 として発表されました。
使用されている FIDO2 の例としては、Windows 10 の Windows Hello、MacBookのTouchID、AndroidのFingerprint などのオンデバイス認証システムや、Yubikey や Feitian BioPass などのオフデバイスの認証システムなどがあります。これらの機能は、セキュリティを強化するだけでなく、ユーザーのログイン体験も向上させます。たとえば、セキュリティの質問に答える場合と比較して、 パスワードレス認証 は、アカウントやサービスへのアクセスをより迅速にかつ簡単に行うことができます。
モバイル認証アプリ
Okta Verify や Google Authenticator などのモバイル認証アプリは、SMS 認証と同様に動作します。ユーザーがユーザー名とパスワードを使用してサイトまたはアプリにログインすると、認証アプリが対象のサービスに入力できるワンタイムパスワード (OTP) を生成するか、ログイン要求を承認または拒否するように求めるプッシュ通知を送信するかのいずれかが発生します。
SMS と比較して、これらのツールは携帯電話サービスに依存しないので、より安全です。さらに、これらのアプリによって生成されたコードは数分以内に期限切れになり、上記で説明したいくつかのリスクが排除されます。
SMS 認証よりさらに先へ
認証要素としての SMS を捨てるのは、言うは易く行うは難しです。重要なのは、ユーザーが別の、より安全な代替手段に慣れ、認証エクスペリエンスを可能な限りシームレスにすることです。たとえば、ほとんどのスマートフォンは、最小限の摩擦で生体認証要素 (指紋など)を検証できます。さらに、FIDO2 では、ユーザーは複数の認証要素を登録できるため、パスワードなしで必要なアプリケーションやシステムにアクセスする複数の方法が提供されます。
サイバー攻撃が頻発し、巧妙化する中、企業はセキュリティ防御を強化することが不可欠です。これは、 パスワードの使用から脱却し、攻撃者がユーザーの認証情報を盗んだり、データやリソースに不正にアクセスしたりすることを可能な限り困難にするソリューションを展開することを意味します。SMS 認証は正しい方向への一歩ですが、エンドユーザーにとって同じくらい (あるいはそれ以上に) 直感的に操作できる、より安全な要素があります。
利用可能なさまざまな認証要素と、それぞれの長所と短所の詳細については、認証保証データシートをご覧ください。
