テキストメッセージで送信される二要素認証コードが大規模に傍受されていたことが明らかになりました。約100万件もの認証コードが流出したこの事件は、SMS認証の脆弱性を改めて浮き彫りにしています。
テクノロジー業界の内部告発者によると、これらのセキュリティコードは政府の情報機関やデジタル監視企業と関係のある、正体不明の海外企業を経由していたとのことです。
SMS二要素認証の仕組みとリスク
二要素認証(2FA)とは何か
二要素認証は、パスワードだけでは不十分なセキュリティを補強する仕組みです。ログイン時にパスワード入力後、追加で6桁の確認コードの入力が求められることで、たとえパスワードが漏れてもアカウントを保護できるはずでした。
認証コードの受信方法
この確認コードは主に2つの方法で受け取れます:
- 専用の認証アプリ(Google Authenticatorなど)
- 登録済み携帯電話番号へのSMS送信
SMS認証の根本的な問題
後者のSMS方式には致命的な弱点があります。SMS通信は完全に暗号化されていないため、通信ネットワーク上でコードが傍受される危険性が常に存在していたのです。
流出事件の詳細
規模と影響範囲
Bloomberg BusinessweekとLighthouse Reportsの調査によると、2023年6月だけで約100万件の二要素認証コードを含むメッセージが傍受されていました。被害者は世界100カ国以上、5大陸にまたがります。
流出元の企業・サービス
傍受されたコードの送信元には、私たちが日常的に使用する主要サービスが含まれています:
- 大手テック企業:Google、Meta、Amazon
- 金融機関:複数のヨーロッパ系銀行
- 人気アプリ:Tinder、Snapchat
- 暗号資産:Binance取引所
- 通信アプリ:Signal、WhatsApp
謎の仲介企業
すべてのメッセージは「Fink Telecom Services」というスイスの企業を経由していました。この会社とその創設者は、政府のスパイ機関や監視業界の請負業者と連携し、携帯電話の監視やユーザー位置追跡を行っていたとされています。
![サッポロ生ビール 黒ラベル 「進撃の巨人」デザイン缶 6缶包装なし [ビール 350ml×24本]](https://m.media-amazon.com/images/I/81Q65GSrP9L._AC_SL1500_.jpg)
あなたのアカウントへの脅威
この流出により、攻撃者があなたのユーザー名とパスワードを入手できれば、SMS二要素認証が有効でもアカウントへの不正アクセスが可能になってしまいます。つまり、セキュリティの最後の砦が機能しない状況が生まれていたのです。
企業側の反応
Fink社の最高財務責任者は「単純なルーティング機能を提供しているだけ」で「もはや監視業務には関与していない」と主張しています。しかし、セキュリティ専門家はFink社をSMS認証コードを悪用したアカウント侵入事件と関連付けて警告しています。
今すぐ実行すべき対策
1. 認証アプリへの切り替え
- Google Authenticator
- Microsoft Authenticator
- Authy などの専用アプリに移行する
2. アカウントセキュリティの見直し
- 重要なアカウントのパスワード変更
- 不審なログイン履歴の確認
- SMS認証設定の無効化
3. 被害状況の確認
- 主要サービスでの不正アクセス履歴チェック
- 金融機関の取引履歴確認
この事件は、便利さとセキュリティのバランスを見直す重要な契機となります。SMS認証に依存している方は、一刻も早く より安全な認証方法への移行を検討することをお勧めします。
Source: 9to5mac
