二要素認証SMS: 評判以上にひどいセキュリティ手法

• ワンタイムパスワードとSMS

  • ワンタイムパスワードはしばしばSMSで送信される
  • CCCのセキュリティ研究者が、200社以上から送信された2億件以上のSMSメッセージにリアルタイムでアクセスした

• SMSによる二要素認証（2FA-SMS）

  • 2FA-SMSは認証セキュリティを高めるための方法である
  • 静的パスワードに加えて、SMSで送信された動的コードが必要となる
  • ユーザーはログイン時にこのコードを入力する必要があり、これはパスワード（第1要素: 知識）と電話番号へのアクセス権（第2要素: 所有）を証明する
  • 盗まれたパスワードだけではユーザーのアカウントを乗っ取ることはできない

• よく知られた攻撃ベクトル

  • SIMスワップやモバイルネットワークのSS7脆弱性を利用して、攻撃者がSMSメッセージを傍受できる
  • フィッシング攻撃によって、ユーザーがワンタイムパスワードを漏らすよう誘導される可能性がある
  • CCCは2013年からSMSを第2要素として使うことを推奨していない
  • それにもかかわらず、2FA-SMSは広く使われており、単純なパスワード認証よりは高いセキュリティを提供する

• 今やオンラインでも見られる!

  • CCCは、2FA-SMSに対するこれまで見過ごされてきた攻撃を実演した
  • サービスプロバイダーは、さまざまな企業やサービス向けに大量のSMSを送信しており、その内容にアクセスできる
  • したがって、認証プロセスの安全性はこうしたプロバイダーのセキュリティに依存している

• IdentifyMobileのミス

  • IdentifyMobileはワンタイムパスワードをリアルタイムでインターネット上に共有していた
  • CCCは偶然このデータにアクセスできた
  • idmdatastoreというサブドメインを推測するだけで十分だった
  • SMSの内容に加え、受信者の電話番号、送信者名、その他のアカウント情報も見えていた

• 200社以上から2億件のSMS

  • Google、Amazon、Facebook、Microsoft、Telegram、Airbnb、FedEx、DHLなど、200社以上が影響を受けた
  • 合計1億9,800万件のSMSが流出した
  • リアルタイムフィードを見るだけで、WhatsAppの番号を乗っ取ったり、金融取引を実行したり、パスワードを知っていればさまざまなサービスにログインしたりできた

• （まだ）大惨事ではない

  • SMSコードを悪用するには通常パスワードが必要である
  • しかし、「1-クリックログイン」リンクもデータに含まれていた
  • 一部の大企業では、IdentifyMobileが保護している個別サービスだけが影響を受けた
  • IdentifyMobileの不注意により、企業と顧客は大きなリスクにさらされた
  • データ保護部門には、同様の問い合わせが世界中から殺到している

• 私たちはデータを保管しなかった

  • しかし、他者がアクセスしていた可能性は排除できない

• 2FA-SMSは何もないよりはましだが、別の方法を使うべき

  • アプリで生成されたワンタイムパスワードやハードウェアトークンを使うほうが安全であり、モバイルネットワークにも依存しない
  • この選択肢が使えるなら、それを使うことを勧める
  • そして、どんな第2要素でも単純なパスワードだけよりはましである

GN⁺の要約

• この記事はSMSベースの二要素認証のセキュリティ脆弱性を扱っている
• IdentifyMobileのミスにより2億件以上のSMSが流出し、多くの企業と顧客に大きなリスクをもたらした
• 2FA-SMSは単純なパスワードより安全だが、アプリベースのワンタイムパスワードやハードウェアトークンを使うほうがよい
• この記事はセキュリティに関心のある人に有用で、SMSベース認証の危険性を警告している