SMSに認証コードを送付することで認証を行う「SMSを使用した二要素認証」は、これまでセキュリティ対策の一つとして推奨されてきました。しかし、近年ではSMSを悪用したサイバー攻撃による被害が多発していることから、大手企業の中でもSMSを使用した二要素認証から脱却する動きが見られるようになりました。
Googleにおいても今後、SMSを使用した二要素認証を廃止し、パスキーやQRコードによる二要素認証に切り替える方針であることを公表しています。
今回はSMSを使用した二要素認証の危険性や被害事例、SMSの二要素認証を廃止すべき理由について徹底解説します。
二要素認証とは、セキュリティの強度を高めるために用いられている、2つの異なる要素を組み合わせて認証を行う方法で、2ファクタ認証とも呼ばれています。まず、二要素認証にはどのような種類があるのかご紹介します。
二要素認証に用いられる要素には、「① 知識情報 / ② 所持情報 / ③ 生体情報 」の3種類があります。
① 知識情報 … ID・パスワード・秘密の質問など、ユーザーが知っている情報のこと。
② 所持情報 … ICカード・SMSやメールで通知されるワンタイムパス、電話認証などのユーザーが所持している情報のこと。
③ 生体情報 … 顔や指紋など、ユーザー自身の身体情報のこと。
セキュリティを強化するための認証方法には、二要素認証以外にも二段階認証や多要素認証と呼ばれる方法があります。用いられる3種類の要素は共通していますが、2つの異なる要素を組み合わせた方法が二要素認証であるのに対して、二段階認証は同じ要素を組み合わせた方法のこと、多要素認証は3種類すべての要素を組み合わせた方法のことを指します。
例)
・二段階認証 … ID・パスワードを組み合わせた認証(知識情報+知識情報)など
・多要素認証 … ID・ワンタイムパス・顔認証を組み合わせた認証(知識情報+所持情報+生体情報)など
次に、SMSによる二要素認証(SMS認証)の特徴や本人確認にSMS認証を使用する危険性について解説します。
SMS認証とは、ユーザーのスマートフォンに「4桁または6桁の数字」の認証コードが記載されたショートメッセージ(SMS)を送信し、インターネット上に用意した入力フォームに認証コードを入力してもらうことで本人確認する方法です。特別なハードウェアを用意する必要がないため、手軽に認証を行うことができます。
また、一度のみ使用できる認証コードを使用しており、不正アクセスの防止やなりすましの抑止として効果的なため、ネット上でのカード決済時やSNSのログイン時など多くのサービスに用いられています。
SMS認証は、これまで比較的強固な認証方法としてさまざまなサービスで使用されてきました。しかし、近年ではSMS認証を悪用したネットバンキングに関連する不正送金やアカウント乗っ取りの被害が多発するようになりました。
警察庁によると、令和5年におけるフィッシング被害の報告件数は119万6,390件と過去最多であることが判明しました。令和5年1月〜9月までのクレジット不正利用被害額は401.9億円にのぼりました。また、令和5年のインターネットバンキングに係る不正送金事犯の被害額は、過去最多の87.3億円にのぼりました。
出典元:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
SMS認証が悪用されるようになった背景には、ハッカーが中間者攻撃(MiTM攻撃)と呼ばれる手口を使ってユーザーと正規サイトとの通信の間に割り込み、通信内容を盗聴・改ざんすることでSMS認証を突破し始めていることがあげられます。また、SMS認証は利便性が良い反面、SMS自体が暗号化されていないことからハッカーに通信を盗み見されると簡単にショートメールに記載された認証コードを悪用されるという脆弱性があります。
次に、SMS認証を悪用したサイバー攻撃の手口について解説します。
まず、ハッカーはターゲットを正規サイトに酷似した偽サイトへ誘導し、ログイン情報や認証コードを入力させます。そして、入力と同時にリアルタイムでハッカーの元に転送されるターゲットの入力情報を使って即座に正規サイトにログインし、情報の窃取・アカウント情報の設定変更・不正送金などを行います。
リアルフィッシング詐欺は、ハッカーがターゲットと同じタイミングでログイン・操作するリアルタイムで行われる攻撃方法のため、ターゲットはログインした後も異変に気づかないケースがほとんどです。
< フィッシングメールに関する記事はこちら >
まず、ハッカーはターゲットの個人情報(名前・住所・電話番号・生年月日など)を不正入手した後、ターゲットになりすまして携帯電話のキャリア会社に連絡し、SIMカードの交換を要求します。そして自身のデバイスに新しいSIMを挿入することで、ターゲットの電話番号に紐づけられたすべてのショートメッセージを受信し、認証コード等の情報を窃取・悪用します。被害者は携帯電話が使えなくなることから問題が発生していることに気づくものの、すでに被害を受けた後であることが多いです。
まず、ハッカーはターゲットの端末に不正アクセスし、自身のデバイスにターゲットの電話番号に紐づけられたすべてのショートメッセージを転送するよう設定します。そして転送されるショートメッセージに記載された認証コード等の情報を窃取・悪用します。
次に、SMS認証を悪用したサイバー攻撃による被害事例についてご紹介します。
Amazonや楽天といった通販サイトを装い、ターゲットに「情報漏えい・ログインエラー・架空請求・不在通知」といった内容のメッセージを送信して偽サイトに誘導する手口です。そして、偽サイトに気づかずにターゲットが入力したログイン情報やクレジットカード情報などを窃取・悪用します。
< メッセージ内容の例 >
・「保存したパスワードの一部がウェブ上に漏洩しました」
・「クレジットカード決済予定についてのお知らせ」
・「未納料金があります」
・「重要な荷物が届きましたが、荷物に不備があり、受取人と連絡が取れませんでした」
・「アカウントで不正なログインが確認されたため、アカウントをロックしました。解除するには下記のURLから手続きしてください。」
三菱UFJ銀行や三井住友銀行、りそな銀行といった大手金融機関を装い、ターゲットに「セキュリティ強化・個人情報の更新・手続きのミス・再発行の手続き」といった内容のメッセージを送信して偽サイトに誘導する手口です。そして、偽サイトに気づかずにターゲットが入力したインターネットバンキングのIDやパスワードを窃取・悪用します。
< メッセージ内容の例 >
・「『重要なお知らせ』アカウントの一時凍結について」
・「犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。いくつかご質問がございます、下記のリンクをアクセスし、ご回答ください。」
・「【要返信】休眠預金等活用法に関するお知らせ」
・「〇〇銀行からの重要なお知らせ(お取引目的等のご確認のお願い)」
ドコモやau、ソフトバンクといった携帯キャリアを装い、ターゲットに「セキュリティ強化やシステム障害」といった内容のメッセージを送信して偽サイトに誘導する手口です。そして、偽サイトに気づかずにターゲットが入力したログイン情報や口座情報を窃取・悪用します。また、偽サイトへ誘導する手口の他に、不正アプリをダウンロードさせてターゲットが入力したログイン情報を窃取・悪用する手口もあります。
< メッセージ内容の例 >
・「【利用停止予告】〇〇未払い料金お支払いのお願い。」
・「【重要】通信サービスは利用停止される場合がございますので必ずご確認ください。」
・「アカウントが利用規約に違反しており、アカウントが停止されています。」
・「〇〇かんたん決済 ご利用内容のお知らせ」
・「本人確認に失敗しました。」
クロネコヤマトや佐川急便といった宅配業者を装い、ターゲットに「不在通知や配送状況」といった内容のメッセージを送信して、偽サイトに誘導する・不正ファイルを開かせる手口です。そして、偽サイトに気づかずにターゲットが入力した個人情報を窃取・悪用したり不正ファイルを開かせてマルウェアに感染させます。
< メッセージ内容の例 >
・「重要な荷物が届きましたが、荷物に不備があり、受取人と連絡が取れませんでした。」
・「アプリを更新して受け取り情報を確認ください。」
・「ご本人様不在のためお荷物をお持ち帰りしました。ご確認ください。」
現在、正式な発表はされていませんが、今後GoogleではSMS認証を廃止し、QRコード認証への切り替えを検討していることを米フォーブス誌が報じています。最後に、危険性が高まるSMS認証の廃止を検討するGoogleの動きについてご紹介します。
世界中でSMS認証が悪用されている問題を受け、Googleでは「SMSコードが流出するリスクをなくし、通信業者が侵入経路となる可能性を排除する」ため、電話番号認証の方法を一新する予定です。
Googleのセキュリティ・プライバシー広報担当であるロス・リッチェンドルファー氏は、CNETの取材に対し「パスキーなどを活用することでパスワード時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」ことや「SMSコードはユーザーにとってリスクが高い」こと、「新しい方法は攻撃リスクを減らしてユーザーの安全を確保できる」ことを述べています。
これまでGoogelでは、GmailやGoogleサービスの本人確認を行う際に「SMSで6桁のコードを送る」方式を使用していましたが、今後は「ユーザーの端末よりスキャンできるQRコードを表示する」方式に変わる予定です。なお、QR認証の正式な導入時期は未定ですが、「今後数カ月以内に」段階的に適用することも公表しています。
QRコード認証の導入によって認証方法が一新するため、慣れるまでに不便や違和感を感じるかもしれません。しかし、WebサービスのEvernoteやプライベートメッセンジャーアプリのSignalでは、すでにセキュリティ強化のためにSMS認証は廃止されています。
また、セキュリティ企業ThreatLockerの最高製品責任者であるロブ・アレン氏もSMS認証に対し、「無いよりはあった方が良いものの、最も好ましくない方法だ」と発言し、SMS認証よりもモバイル端末の認証アプリを使う方がはるかに安全であることを強調しており、セキュリティを向上するためにはSMS認証からの脱却が必要不可欠であることが窺えます。
以上、SMSを使用した二要素認証の危険性や被害事例、SMSの二要素認証を廃止すべき理由について徹底解説しました。
― 二要素認証とは
― SMS認証の特徴と危険性
― SMS認証を悪用した手口
― SMS認証による被害事例
― SMS認証の廃止に向けたGoogleの動き
これまでSMS認証は本人が所有するデバイスで認証を行うため、不正アクセスが防ぎやすいと考えられてきました。しかし、SMSメッセージ自体が暗号化されていないことやサイバー攻撃が巧妙化していることから、通信事業者のネットワークにアクセスすることでハッカーに容易に傍受されるリスクが高まっています。
巧妙化するサイバー攻撃に対してセキュリティ対策の手法も年々進化しているため、企業においても定期的なセキュリティ対策の見直しは必要不可欠といえます。
ソニックスではセキュリティ対策のセカンドオピニオンやご提案を行っています。現状のセキュリティ対策にご不安や気になることなどございましたら、まずはお気軽にソニックスにお問い合わせください。
