1年前、私はスイスから母国フランスに帰国しました。 引越しには、多くの手続きが伴いますが、その中の一つに新たな電話番号の契約がありました。
私はすぐに新しい番号を取得し、多要素認証 (MFA) を使ったアカウントの更新をしましたが、Amazon アカウントで予期せぬ問題が発生しました。 新しい電話番号が、すでに別のユーザーのアカウントにリンクされていたのです。おそらく電話番号の前の持ち主がAmazonアカウントとの解除をしていなかったのでしょう。
そこで、私はAmazonのサポートチームに連絡し、新しい番号と私のアカウントに関連付けようとしました。 サポートチームはすぐに対応してくれましたが、明示的な許可なしにアカウントの詳細を変更することはできないと言われてしまいました。結果的に、追加のセキュリティ層として電話番号を使用することができませんでした。
アカウントの乗っ取り:現実世界のシナリオ
Amazonのセキュリティの仕組みには、アカウントへのアクセスという点で危うい側面があります。Amazonアカウントに紐付けられた電話があれば、その紐付けられたアカウントにアクセスするために驚くほど簡単な方法があるのです。携帯電話番号でログインし、その電話番号に送信される認証コードでサインインすることを選択すれば、パスワードの入力を省略して、アクセスできてしまうのです。
この形式で入力すると、電話を所有する個人はアカウントをかなりのレベルで制御できるようになります。 ユーザーには、アカウントのパスワードのリセット、MFA に使用される電話番号の更新、登録された電子メール アドレスの変更、およびアカウントに保存されているクレジット カードの詳細を使用して購入を行う機能が提供されます。 注目すべきことに、このプロセスには重要なセキュリティ層が欠けています。Amazon での取引には銀行認証が必要ないため、不正な購入に悪用される可能性があるのです。
私の場合、昔他人によって使用されていた電話番号を所有していたためにうっかり他人の Amazon アカウントにログインしてしまいました。当たり前ですが、情報の変更や買い物をするなど、悪用する意図はありません。 代わりに、以前にリンクされていたアカウントから電話番号を解除しました。このアクションは、現在の電話番号で自分の Amazon アカウントを保護し、そのセキュリティを強化し、個人アカウントに関連付けられている唯一のユーザーであることを保証するために非常に重要です。
この出来事は、不正アクセスを防ぐためにアカウント情報を定期的に更新して保護することの重要性を浮き彫りにしました。また、電話ベースの認証方法の潜在的なリスクについての認識を高め、ユーザーがデジタル セキュリティの実践について常に警戒する必要性を気付かせる例にもなります。
MFA / OTPの脆弱性
ワンタイム パスワード (OTP) やマジック リンクなどの SMS ベースの MFA は普及していますが、セキュリティ上の重大な制限があります。 これらの弱点は、従来の MFA シナリオに限定されるものではなく、さまざまな SMS ベースの認証方法にも広がります。
アカウントのセキュリティのために電話番号を更新しないと、自分のアカウントに完全にアクセスできなくなるという、別の厄介な結果が生じる可能性があります。
たとえば、新しい電話番号で Google アカウントを更新しないと、重大なアクセスの問題が発生し、アカウントからロックアウトされる可能性があります。 この見落としがあると、たとえパスワードを覚えていたとしても、イライラする上に面倒な状況が生じる可能性があります。
電話番号を変更したにもかかわらず、Googleアカウント設定でこの情報を更新しなかった場合、意図せずしてバリアを作ってしまうことにもなります。 この問題は、アカウントのセキュリティと整合性を確保するための重要なステップである検証プロセス中に発生します。 Googleは、高いセキュリティ基準を維持する取り組みの一環として、二要素認証プロセスので確認コードを要求することがよくあります。 通常、このコードは登録された電話番号に送信されます。
もし、アカウントがまだ古い番号に紐づけられている場合は、これらの重要な確認コードを受け取ることができません。 その結果、正しいパスワードを入力したにもかかわらず、ログインプロセスを完了できなくなるのです。 この確認コードへのアクセスの欠如により、事実上、本人確認ができずにアカウントへアクセスができなくなります。
さらに、この問題の影響は、メールのチェックやカレンダーの更新ができなくなるだけではありません。 Google ドライブ、フォトなどの重要なプラットフォーム、さらには Google を使用してログインするサードパーティのサイトなど、Google アカウントに関連付けられたすべてのサービスへのアクセスが中断される可能性があります。
SMS ベースMFA のその他制限事項
Amazon のログインプロセスに関するこの暴露は、ただ単に眉をひそめるというレベルではなく、さまざまなプラットフォームにわたる SMS ベースの多要素認証に依存することに内在するリスクについての広範な議論への引き金としても機能します。
以下は、SMS ベースのMFAの制限事項です。
1. SMS暗号化とマルウェアの脅威
SMSメッセージは暗号化されていないため、傍受や不正な読み取りのターゲットになりやすいです。 認証コードなどの機密情報が悪者の手に渡り、アカウント侵害につながる可能性があります。 ただし、SMS メッセージの傍受には高度な技術が必要であるため、これが攻撃方法となる可能性は低く、ほとんどの攻撃者はデバイス上でマルウェアを使用して SMS データを吸い上げようとします。
2. モバイルネットワークへの依存
モバイル ネットワークに依存すると、停止が発生する可能性があるため、アカウント アクセスが必要な重要な瞬間に SMS ベースの MFA の信頼性が低くなります。
3. SS7とSakari Exploits
以前の懸念に反して、Signal System 7 (SS7) プロトコルは悪用に対してそれほど脆弱ではなくなりました。ただし、基本的なソーシャル エンジニアリングと最小限のコストで実現できる、Sakari のようなサービスへの SMS の転送の容易さは、新たな脅威ベクトルをもたらします。
4. ソーシャルエンジニアリング
攻撃者はソーシャル エンジニアリング技術を使用して、個人やモバイル サービス プロバイダーをだまして機密情報を漏らしたり、MFA 対策を回避して電話番号を新しい SIM カードに転送させたりする可能性があります。
5. アカウント買収のための大量番号購入
新たな脅威には、SMS ベースの MFA の脆弱性を利用して、攻撃者が電話番号を大量に購入して大規模なアカウント乗っ取りを試みることが含まれます。
> 悪名高いサイバー犯罪グループ「LAPSUS$」が、予防セキュリティを回避してクラウド環境を標的にする方法についてはこちらのレポート(英語)をご参照ください。
MFAのベストプラクティス
強力な MFA には、Microsoft Authenticator や Google Authenticator などのアプリベースの認証システムが推奨されます。 ただし、OTP およびマジック リンク ログインの問題は未解決のままであり、継続的なセキュリティの課題となっています。 一般に、次のベスト プラクティスに従ってください。
- SMS ベースの MFA では、リスクを軽減するために、一意の非公開電話番号を使用する
- SMS ベースの MFA は、機密性の低いアカウントに使用し、リスクの高いアカウントに はより強力な方法を優先する
- 不正アクセスや不審な振る舞いの兆候がないか、定期的にアカウント活動を監視する
企業の意味合いと高度なソリューション
SMS ベースの MFA の脆弱性は、特に今回の Amazon アカウント侵害などのインシデントによって浮き彫りになり、デジタル セキュリティ戦略の強化が緊急に必要であることが強調されています。 これは、大量の機密データや金融資産がリスクにさらされているため、リスクが大幅に高まる企業にとっては特に重要です。 企業の領域では、堅牢な MFA メソッドの実装は、個々のユーザーを保護するだけではありません。 それは、企業のデジタル インフラストラクチャ、知的財産を保護し、利害関係者との信頼を維持することです。
企業は、サイバー脅威に対するより強力な防御を提供する、生体認証認証やセキュリティ キーなどの高度な MFA ソリューションの導入を優先する必要があります。 さらに、企業はセキュリティ意識の文化を育み、あらゆるレベルの従業員がリスクを理解し、セキュリティのベストプラクティスに従うようにする必要があります。 サイバー脅威が巧妙化しているだけでなく、事業運営を混乱させ、組織の評判に長期的な損害を与える可能性も増している時代において、集団的に警戒することは非常に重要です。