Google が二要素認証の要素をSMSを利用しない方向にあるのか

Googleが二要素認証を行う際に、SMSを利用するのではなくGoogleプロンプトへ切り替えていくというニュースを耳にしてからしばらく経ちます。

何故Googleは二要素認証にSMSを利用しない方向性を示したのでしょうか。

二要素認証にSMSを利用するのは危険である

理由として、二要素認証にSMSを利用するのは脆弱である（危険である）と判断したためです。

何故二要素認証にSMSを利用するのが脆弱なのか、理由をいくつか掲げています。

スマートフォンや携帯電話をキャリアと契約して利用する場合、SIMカードが必要になることは周知の事実ですね。

SIMとはSubscriber Identity Moduleの略で、日本語にすると加入者識別モジュールとなります。

SIMカードには契約内容や電話番号を識別するための暗号データを格納しています。

これをスマートフォンや携帯電話に挿入することで、加入者を識別して回線利用ができるようになります。

このSIMカードですが、機種変更を行うともちろんSIMカードは元々使っていた物を再度利用するのですが、SIMカードにはmicro SIMやnano SIMなどサイズが違う物が存在しています。

このSIMカードのサイズ変更が伴う際の機種変更を行う際は、旧のSIMカードから新のSIMカードに情報を移す作業が発生します。これをSIMスワップと呼びます。

攻撃者は、不正に取得した端末からSIMカードを抜き取り、キャリアを騙してSIMスワップを行うと、攻撃者がなりすませるため、SMSを盗み見ることが出来ます。

最近では利用者の利便性を高めるために、SMSをPCと同期できる機能が存在しています。

スマートフォンで受信したSMSをPCで確認できるのは非常に便利なのですが、この状態で二要素認証を行うとせっかく認証コードをスマートフォンで受け取って、セキュリティレベルを向上させているのに、そのメッセージをPCで同期できてしまうと、二要素認証の意味が無くなります。

ウイルスやトロイの木馬に感染した状態で、そんなことを実行してしまうと容易に認証コードが読み取られてしまいます。

SS7は、1980年代に電話会社によって作成されたテレフォニーシグナリングプロトコルであり、AT＆TやVerizonを含む世界の800以上の電気通信事業者に電話やテキストのルーティングやローミングなどのデータの相互接続や交換を可能にする技術です。

最近、攻撃者がこのSS7の設計上のミスを突いて悪用し、携帯電話やスマートフォンの通信内容を傍受する、SS7攻撃とよばれる手法を利用しており、インターネットバンキングに不正アクセスして金銭を盗むといった被害が発生しています。

もちろん、通信内容が傍受できるのですから、SMSの内容も傍受できてしまいます。結果、攻撃者にまんまと二要素認証を突破されてしまうのです。

このSS7攻撃が利用されると、「不正アクセスがあったみたいだけど、SMSで届いた認証コードを利用されなければ平気平気」と暢気に構えていると、知らない間に内容を傍受され不正ログインを許してしまうので非常に恐ろしいですね・・・

そんな危険を孕んだSMSの代わりにGoogleが用意したのがGoogleプロンプトとGoogle認証システムです。

Googleプロンプトは上図の物を指し、二要素認証を有効化して信頼されていないデバイスでログインを試すと、表示されます。

ここに、Google認証システムアプリで生成したワンタイムパスワードを入力することでログインできるようになります。

最近不正ログインの被害件数が増えてきており、二要素認証が徐々に普及し始めてきていますが、その認証要素によっては実はセキュリティレベルが高まっていなかった、なんて落とし穴が存在するとは・・・

SMSを使った認証は、ライトユーザー層にも分かりやすい認証方法でしたが、GoogleプロンプトとGoogle認証システムを使う方法は、ライトユーザーにとっては少しハードルが高いかも知れません。

なので、よく分からないから使わない、といったユーザーが増えそうな気もします・・・　なかなか難しい問題ですね・・・

Source: CNET | Sophos | Cybesecurity Technologies LAB> | G Suite Updates