2 要素認証に SMS を使用すべきでないのはなぜですか。また、代替手段は何ですか。

2 要素認証 (2FA) は、オンライン アカウントに重要なセキュリティ層を追加しますが、残念ながら、すべての方法が同じように機能するわけではありません。多くの人は、SMS ベースの 2FA が安全なオプションであると信じて、これに依存しています。残念ながら、SMS は完璧な方法ではありません。 2FA に SMS の使用をやめるべき理由と、代わりに使用できるものについて説明します。

SIMスワップでハッカーが電話番号を盗む

2FA に SMS を使用する場合の最も憂慮すべきリスクの 1 つは、SIM スワッピングです。これは、攻撃者がモバイル プロバイダーを騙して電話番号を新しい SIM カードに移行させる手法です。一度あなたの番号が制御されると、その番号に送信されるすべての SMS メッセージをブロックできるようになります。

仕組みは次のとおりです。攻撃者はあなたになりすまして携帯電話会社に連絡します。犯人は、あなたの住所や社会保障番号の下 4 桁などの盗んだ個人情報を使って、携帯電話会社にあなたの電話番号を自分の SIM カードに移行するよう説得します。この移行が完了すると、攻撃者はあなたの番号に送信されるテキストメッセージ（アカウントを保護するための 2FA コードを含む）を傍受します。

被害はそれだけでは終わりません。私たちの多くは、電子メールからソーシャル メディア、銀行アプリまで、複数のアカウントに電話番号をリンクしています。 SIMスワップが成功すると、攻撃者は電子メールから銀行アプリまで、電話番号に関連付けられた多くのアカウントにアクセスできるようになります。SIM カード スワッピングとは何か、そして自分自身を守る方法について説明した Quantrimang.com の以前のガイドは、ますます頻繁に発生するこの詐欺を回避するのに役立ちます。

SMSメッセージは傍受される可能性がある

SIMスワップを回避したとしても、SMSメッセージ自体は安全ではありません。簡単に傍受できるネットワークを経由して送信されます。ハッカーは、通信事業者が通話やメッセージをルーティングできるようにする世界的な通信プロトコルである信号システム No. 7 (SS7) の脆弱性を悪用する可能性があります。 SS7 を悪用すると、攻撃者は実際の電話にアクセスすることなく SMS メッセージを傍受できます。

これは単なる理論ではありません。 SIM ハッキングは、しばらく前から存在している問題です。サイバー犯罪者や、一部の国家支援グループも SS7 の脆弱性を利用して通信を盗聴し、機密情報を盗んでいます。 SMS は暗号化されていないため、ワンタイム パスコードを含むメッセージの内容が送信中に公開されます。

メッセージが侵害されるもう 1 つの方法は、デバイスに悪意のあるアプリやスパイウェアがインストールされることです。これらのプログラムは、受信した SMS メッセージを監視し、ユーザーの知らないうちに 2FA コードを攻撃者に転送する可能性があります。

SMSはあなたの電話番号にリンクされています

SMS ベースの 2FA のもう 1 つの大きな欠点は、電話番号に依存していることです。コードを受信する機能は、モバイル サービスに直接リンクされています。信号が弱いエリアにいる場合、Wi-Fiを使用しても SMS ベースの 2FA はまったく役に立ちません。インターネット接続で機能する他の認証方法とは異なり、SMS には安定した携帯電話信号が必要です。

この依存関係により、アカウントにアクセスする必要があってもコードを取得できないという状況に陥る可能性があります。遠隔地に旅行している場合でも、受信状態の悪い建物内にいる場合でも、この制限により、SMS は他の方法よりも信頼性が低くなります。

代替手段: 認証アプリ

2FA 認証に SMS に頼る代わりに、2FA 認証アプリに切り替えます。 Google Authenticator、Microsoft Authenticator、Authy などのアプリは、デバイス上で直接、時間制限のあるワンタイム パスワード (TOTP) を生成するため、SMS よりもはるかに安全で信頼性の高い代替手段となります。

認証アプリの最初の大きな利点はセキュリティです。 SMS とは異なり、これらのアプリは携帯電話上でローカルにコードを生成するため、傍受または悪用される可能性のあるネットワーク経由では送信されません。また、追加のセキュリティ層で保護されており、多くのアプリではコードにアクセスするためにパスコード、指紋、または顔スキャンが必要です。

認証アプリが好まれるもう 1 つの理由は、オフライン機能です。コードはデバイス上で直接生成されるため、使用するためにモバイル接続は必要ありません。サービスが提供されていない遠隔地にいる場合でも、受信状態が悪い屋内にいる場合でも、デバイスがあればコードにアクセスできます。

Authy はクラウド バックアップを提供しているため、携帯電話を紛失した場合でもアカウントを簡単に回復できるため、他の認証アプリよりも好まれています。同時に、これらのバックアップは暗号化によって保護され、自分だけがアクセスできるようになります。 Google Authenticator も人気の選択肢です。どちらのオプションも無料で、広くサポートされており、セットアップも簡単です。

認証アプリの使用は非常に簡単です。通常、2FA セットアップ プロセス中に Web サイトから提供される QR コードをスキャンすることでセットアップが完了すると、ログインするたびにアプリを開いてコードにアクセスするだけで済みます。コードは 30 秒ごとに更新されるため、誰かがコードを盗んだとしても、すぐに無効になります。

2 要素認証はアカウントを安全に保つために不可欠ですが、使用する方法が重要です。 SMS ベースの 2FA は便利に思えるかもしれませんが、SIM スワッピングから傍受方法、さらには携帯電話の電波状況の悪さなどの実際的な問題まで、多くの脆弱性があります。これらのリスクにより、SMS はオンライン セキュリティの保護手段として信頼できなくなります。