SMSベースの多要素認証の隠れたリスク

2024年1月24日
Lucie Cardiet
プロダクト・マーケティング・マネージャー
SMSベースの多要素認証の隠れたリスク

1年前、私はスイスから母国フランスに帰国しました。 引越しには、多くの手続きが伴いますが、その中の一つに新たな電話番号の契約がありました。

私はすぐに新しい番号を取得し、多要素認証 (MFA) を使ったアカウントの更新をしましたが、Amazon アカウントで予期せぬ問題が発生しました。 新しい電話番号が、すでに別のユーザーのアカウントにリンクされていたのです。おそらく電話番号の前の持ち主がAmazonアカウントとの解除をしていなかったのでしょう。

そこで、私はAmazonのサポートチームに連絡し、新しい番号と私のアカウントに関連付けようとしました。 サポートチームはすぐに対応してくれましたが、明示的な許可なしにアカウントの詳細を変更することはできないと言われてしまいました。結果的に、追加のセキュリティ層として電話番号を使用することができませんでした。

アカウントの乗っ取り:現実世界のシナリオ

Amazonのセキュリティの仕組みには、アカウントへのアクセスという点で危うい側面があります。Amazonアカウントに紐付けられた電話があれば、その紐付けられたアカウントにアクセスするために驚くほど簡単な方法があるのです。携帯電話番号でログインし、その電話番号に送信される認証コードでサインインすることを選択すれば、パスワードの入力を省略して、アクセスできてしまうのです。

アマゾンのサインイン・インターフェイスと、SMSで受信したOTP。

この形式で入力すると、電話を所有する個人はアカウントをかなりのレベルで制御できるようになります。 ユーザーには、アカウントのパスワードのリセット、MFA に使用される電話番号の更新、登録された電子メール アドレスの変更、およびアカウントに保存されているクレジット カードの詳細を使用して購入を行う機能が提供されます。 注目すべきことに、このプロセスには重要なセキュリティ層が欠けています。Amazon での取引には銀行認証が必要ないため、不正な購入に悪用される可能性があるのです。

時代遅れのSMSベースのMFAが原因でamazonアカウントに侵入される

私の場合、昔他人によって使用されていた電話番号を所有していたためにうっかり他人の Amazon アカウントにログインしてしまいました。当たり前ですが、情報の変更や買い物をするなど、悪用する意図はありません。 代わりに、以前にリンクされていたアカウントから電話番号を解除しました。このアクションは、現在の電話番号で自分の Amazon アカウントを保護し、そのセキュリティを強化し、個人アカウントに関連付けられている唯一のユーザーであることを保証するために非常に重要です。

Amazonアカウントからsms mfaを削除する方法

この出来事は、不正アクセスを防ぐためにアカウント情報を定期的に更新して保護することの重要性を浮き彫りにしました。また、電話ベースの認証方法の潜在的なリスクについての認識を高め、ユーザーがデジタル セキュリティの実践について常に警戒する必要性を気付かせる例にもなります。

MFA / OTPの脆弱性

ワンタイム パスワード (OTP) やマジック リンクなどの SMS ベースの MFA は普及していますが、セキュリティ上の重大な制限があります。 これらの弱点は、従来の MFA シナリオに限定されるものではなく、さまざまな SMS ベースの認証方法にも広がります。

アカウントのセキュリティのために電話番号を更新しないと、自分のアカウントに完全にアクセスできなくなるという、別の厄介な結果が生じる可能性があります。

たとえば、新しい電話番号で Google アカウントを更新しないと、重大なアクセスの問題が発生し、アカウントからロックアウトされる可能性があります。 この見落としがあると、たとえパスワードを覚えていたとしても、イライラする上に面倒な状況が生じる可能性があります。

認証コードによるGoogleセキュリティ認証

電話番号を変更したにもかかわらず、Googleアカウント設定でこの情報を更新しなかった場合、意図せずしてバリアを作ってしまうことにもなります。 この問題は、アカウントのセキュリティと整合性を確保するための重要なステップである検証プロセス中に発生します。 Googleは、高いセキュリティ基準を維持する取り組みの一環として、二要素認証プロセスので確認コードを要求することがよくあります。 通常、このコードは登録された電話番号に送信されます。

もし、アカウントがまだ古い番号に紐づけられている場合は、これらの重要な確認コードを受け取ることができません。 その結果、正しいパスワードを入力したにもかかわらず、ログインプロセスを完了できなくなるのです。 この確認コードへのアクセスの欠如により、事実上、本人確認ができずにアカウントへアクセスができなくなります。

グーグルのエラーメッセージ "サインインできません"

さらに、この問題の影響は、メールのチェックやカレンダーの更新ができなくなるだけではありません。 Google ドライブ、フォトなどの重要なプラットフォーム、さらには Google を使用してログインするサードパーティのサイトなど、Google アカウントに関連付けられたすべてのサービスへのアクセスが中断される可能性があります。

SMS ベースMFA のその他制限事項

Amazon のログインプロセスに関するこの暴露は、ただ単に眉をひそめるというレベルではなく、さまざまなプラットフォームにわたる SMS ベースの多要素認証に依存することに内在するリスクについての広範な議論への引き金としても機能します。

以下は、SMS ベースのMFAの制限事項です。

1. SMS暗号化とマルウェアの脅威

SMSメッセージは暗号化されていないため、傍受や不正な読み取りのターゲットになりやすいです。 認証コードなどの機密情報が悪者の手に渡り、アカウント侵害につながる可能性があります。 ただし、SMS メッセージの傍受には高度な技術が必要であるため、これが攻撃方法となる可能性は低く、ほとんどの攻撃者はデバイス上でマルウェアを使用して SMS データを吸い上げようとします。

2. モバイルネットワークへの依存

モバイル ネットワークに依存すると、停止が発生する可能性があるため、アカウント アクセスが必要な重要な瞬間に SMS ベースの MFA の信頼性が低くなります。

3. SS7とSakari Exploits

以前の懸念に反して、Signal System 7 (SS7) プロトコルは悪用に対してそれほど脆弱ではなくなりました。ただし、基本的なソーシャル エンジニアリングと最小限のコストで実現できる、Sakari のようなサービスへの SMS の転送の容易さは、新たな脅威ベクトルをもたらします。

4. ソーシャルエンジニアリング

攻撃者はソーシャル エンジニアリング技術を使用して、個人やモバイル サービス プロバイダーをだまして機密情報を漏らしたり、MFA 対策を回避して電話番号を新しい SIM カードに転送させたりする可能性があります。

5. アカウント買収のための大量番号購入

新たな脅威には、SMS ベースの MFA の脆弱性を利用して、攻撃者が電話番号を大量に購入して大規模なアカウント乗っ取りを試みることが含まれます。

> 悪名高いサイバー犯罪グループ「LAPSUS$」が、予防セキュリティを回避してクラウド環境を標的にする方法についてはこちらのレポート(英語)をご参照ください。

MFAのベストプラクティス

強力な MFA には、Microsoft Authenticator や Google Authenticator などのアプリベースの認証システムが推奨されます。 ただし、OTP およびマジック リンク ログインの問題は未解決のままであり、継続的なセキュリティの課題となっています。 一般に、次のベスト プラクティスに従ってください。

  1. SMS ベースの MFA では、リスクを軽減するために、一意の非公開電話番号を使用する
  2. SMS ベースの MFA は、機密性の低いアカウントに使用し、リスクの高いアカウントに はより強力な方法を優先する
  3. 不正アクセスや不審な振る舞いの兆候がないか、定期的にアカウント活動を監視する

企業の意味合いと高度なソリューション

SMS ベースの MFA の脆弱性は、特に今回の Amazon アカウント侵害などのインシデントによって浮き彫りになり、デジタル セキュリティ戦略の強化が緊急に必要であることが強調されています。 これは、大量の機密データや金融資産がリスクにさらされているため、リスクが大幅に高まる企業にとっては特に重要です。 企業の領域では、堅牢な MFA メソッドの実装は、個々のユーザーを保護するだけではありません。 それは、企業のデジタル インフラストラクチャ、知的財産を保護し、利害関係者との信頼を維持することです。

企業は、サイバー脅威に対するより強力な防御を提供する、生体認証認証やセキュリティ キーなどの高度な MFA ソリューションの導入を優先する必要があります。 さらに、企業はセキュリティ意識の文化を育み、あらゆるレベルの従業員がリスクを理解し、セキュリティのベストプラクティスに従うようにする必要があります。 サイバー脅威が巧妙化しているだけでなく、事業運営を混乱させ、組織の評判に長期的な損害を与える可能性も増している時代において、集団的に警戒することは非常に重要です。

よくあるご質問(FAQ)

SMSベースの多要素認証(MFA)とは何ですか?

SMS ベースの MFA は、アカウントにログインする際に、追加の認証レイヤーとしてワンタ イム・コードまたはリンクを配信するためにテキスト・メッセージを使用するセキュリ ティ・プロセスである。パスワードだけでなく、第二の認証形式を要求することで、セキュリティを強化するために使用される。

アカウントにリンクされた古い電話番号が、どうしてセキュリティ問題につながるのか?

電話番号が新しいユーザーに再割り当てされても、前の所有者のアカウントにリンクされている場合、新しいユーザーはそれらのアカウントにアクセスできる可能性があります。これは、不正アクセスや、個人情報や財務情報の悪用につながる可能性があります。

SMSベースのMFAの脆弱性が企業に与える広範な影響とは?

企業は、大量の機密データと金融資産のために、より大きなリスクにさらされている。SMS ベースの MFA の脆弱性は、重大な侵害、金銭的損失、評判へのダメージにつながる可能性があります。企業は、デジタル・インフラを保護するために、より強力なMFAソリューションを採用しなければなりません。

ユーザーはSMSベースのMFAに関連するリスクをどのように軽減できるのか?

ユーザーは以下のことができる:

  • SMS ベースの MFA には、一意の公開されていない電話番号を使用する。
  • SMSベースのMFAは、機密性の低いアカウント用に予約する。
  • 定期的に口座情報(特に電話番号)を更新する。
  • 不正アクセスの兆候がないか、アカウント活動を監視する。
デジタル・セキュリティにおけるアカウント情報の定期的な更新の意義とは?

電話番号を含むアカウント情報を定期的に更新することは、不正アクセス防止に役立つ。古い電話番号がアカウントにリンクされたままになっていると、その番号が新しいユーザーに割り当てられたときに、アクセスの問題や潜在的な侵害につながる可能性があります。

SMSベースのMFAに関連する主なリスクとは?

主なリスクは以下の通り:

  • SMSメッセージの傍受:SMSメッセージは暗号化されていないため、攻撃者に傍受される可能性がある。
  • モバイルネットワークへの依存:障害により認証コードを受信できないことがある。
  • SS7の脆弱性:今ではあまり見かけなくなったが、攻撃者はSS7プロトコルを悪用してメッセージを傍受することができる。
  • ソーシャル・エンジニアリング:攻撃者は個人やプロバイダーを騙して電話番号を転送させることができる。
  • 電話番号の大量購入:攻撃者はアカウント乗っ取りのために電話番号を大量に購入することができる。
電話番号が変更され、まだアカウントにリンクされている場合はどうすればよいですか?

すぐにすべてのオンラインアカウントで電話番号を更新する。サービス・プロバイダーに連絡して、アカウントから古い電話番号を切り離す。定期的にアカウントに異常な動きがないか監視し、可能であればより強力なMFA方式を有効にする。

SMSベースのMFAに代わるものとして推奨されるものは?

より強力な代替案は以下の通りだ:

  • アプリベースの認証機能:Google Authenticator や Microsoft Authenticator など。
  • 生体認証:指紋または顔認証を使用する。
  • セキュリティキー:セキュリティの追加レイヤーを提供する物理的な装置。
ユーザーはSMSベースのMFAに関連するリスクをどのように軽減できるのか?

SOC は、セキュリティ脅威の監視、検出、および対応において極めて重要です。SOCに堅牢な脅威検知およびレスポンス プラットフォームを導入することで、MFA関連の脆弱性を特定・緩和し、セキュリティ全体を強化することができます。

企業はどのようにして従業員にセキュリティ意識の文化を醸成すればよいのだろうか。

企業はできる:

  • 定期的なセキュリティトレーニングと意識向上プログラムを実施する。
  • デジタルセキュリティのベストプラクティスを奨励する。
  • 強力な MFA 手法の使用と口座活動の定期的な監視を推進する。
  • 従業員にリスクを理解させ、潜在的な脅威に対する警戒心を持たせる。

これらの対策を実施し、デジタル・セキュリティへの積極的なアプローチを維持することで、SMSベースのMFAに関連するリスクを大幅に減らすことができる。