アカウントログインにSMS認証を導入した企業に、SIMスワップ攻撃の責任論が浮上

 (keydiscussions.com)
1 ポイント 投稿者 GN⁺ 2024-02-07 | 1件のコメント | WhatsAppで共有

SMSベースのアカウントログインを採用した企業の責任

  • SIMスワップ攻撃が続いている理由は、Apple、Dropbox、PayPal、Block、Google など多くの企業が、パスワードリセットやアカウントログインに SMS を使うという悪いアイデアを採用しているため。
  • SIMスワップ攻撃とは、犯罪者が通信事業者に被害者の電話番号を自分の電話へ移すよう依頼し、それによって SMS でアカウントのログイン情報を受け取り、金銭や機密情報を盗むもの。
  • SIMスワップ攻撃を防ぐ方法は簡単で、企業は SMS によるログインやパスワードリセットを許可すべきではなく、SMS 2FA を提供する場合でも Authy や Google Authenticator のような、より安全な選択肢を提供すべき。

SMSベース認証の問題点

  • SMS による認証は顧客のセキュリティのための一般的な方法として提供されているが、メールによる認証のような、より安全な方法と比べると、利便性はあってもセキュリティには脆弱。
  • SMS で顧客にメッセージを送るのは、暗号化されていない絵はがきを送るのと同じで、SIMスワップ攻撃のように、誰でも郵便受けを開けてメッセージを横取りできる。
  • SMS はパスワードリセットに最適な選択肢ではなく、Authy やメールを使うほうがより良い 2FA の選択肢。

技術採用の負の側面

  • Apple や Google などは、SMS によるパスワードリセットやアカウントログインを支援する機能を導入することで、SMS の役割を強化している。
  • クラウドプロバイダーは SMS コードの提供で利益を得ており、これは本質的に不完全な技術を安全なソリューションとして売っていることになる。
  • Wells Fargo、Cash App、Robinhood、Schwab、PayPal、Bank of America などの金融サービスも、SMS によるリセット/アカウントログイン機能を提供している。

顧客側の誤解

  • 顧客は SMS リセットの不完全さを理解しておらず、メールによるリセットや Authy のような 2FA アプリによるログインコードよりも、利便性を優先している。
  • テック企業は顧客を守ることに失敗しており、訴訟や立法によって状況が変わることが期待される。

GN⁺の見解

  • SMSベース認証は便利である一方でセキュリティ上の脆弱性を抱えており、企業はより安全な認証方法へ移行すべき。
  • SIMスワップ攻撃は防げる問題であるにもかかわらず発生し続けており、これは企業による誤った技術採用に起因している。
  • この記事は、テック企業が顧客の安全を優先し、SMSベースの認証システムを廃止して、より安全な認証方法を採用すべきだという重要なメッセージを伝えており、ユーザーや業界専門家に示唆を与えている。

関連記事

1件のコメント

 
GN⁺ 2024-02-07
Hacker Newsの意見

  • SMS認証コードの不便さに対する不満

    • 以前はTOTPコードを1Passwordが自動入力してくれていたが、今ではSMS認証のために国際ローミング料金を支払うか、SMS転送を設定しなければならない。
    • 電話番号をすべての企業に提供する代わりに、認証アプリをSMSの代わりに使うべきだという主張。
    • 電話番号をアカウントにひも付けるのは、次のような理由でよくない: 携帯電話の紛失・盗難、国の移動、SMS攻撃、電話番号の再利用、有料の電話プランを維持する必要があること。

  • PayoneerのSMS問題に関する体験談

    • アルゼンチンのMovistarユーザーを対象にしたPayoneerのSMS認証問題があったが、Hacker Newsでは注目されなかった。
    • 攻撃者がMovistar顧客向けに2FAを送るSMSゲートウェイをハッキングし、Payoneerユーザーのメールアドレスを突き止めてパスワードを変更し、送金した。
    • FacebookやTwitterなどもコスト削減のために同じSMSゲートウェイを使っているため、注意が必要である。

  • 電話番号を失った場合のログイン問題

    • 電話番号を失ってしまうと、Googleアカウントにログインできなくなる問題が発生する。

  • SMS認証の不便さとTOTPの便利さの比較

    • SMS認証は携帯電話を探さなければならない煩わしさがある一方、TOTPはKeePassXCにコードを保存できるため、より便利である。

  • SMS認証のユーザー体験(UX)への賛成意見

    • SMSログインとアカウント復旧は優れたユーザー体験を提供し、通信事業者がセキュリティを強化すべきだという意見。

  • Google Voice番号の利用制限に対する不満

    • 一部の企業は、Google Voice番号を認証に使えないとしたり、無効な電話番号と見なしたりしている。

  • SMS認証の必要性と通信事業者の役割

    • 一般ユーザーにアプリのインストールを求めるのは大きな負担であり、SMSは一般ユーザーにとって唯一の現実的な解決策である。
    • SIMスワップを難しくすべきだという主張。

  • SMS認証の目的と企業の立場

    • SMS認証は、アカウント所有者であることの証明と、不正利用者によるアカウント作成の制限という2つの目的に有効である。
    • 企業は携帯電話会社にKYC(Know Your Customer)プロセスをアウトソーシングすることで、最適なセキュリティソリューションを提供していない。

  • SMS認証への批判と犯罪者への責任転嫁の問題

    • 批判者はSMS認証を使う企業を非難するが、実際に責任を負うべきなのは犯罪者だという意見。
    • SIMスワップ攻撃の責任は犯罪者にある。