ハッカーがメッセージを傍受できる場合、2要素SMS認証では保護されません
簡単にするために、専門家はしばしば、 2要素認証 (2FA)を、自分が知っているものと持っているものを提供した場合にのみアカウントにログインできるシステムとして説明します。
あなたが知っていることは明らかです-適切なユーザー名とパスワードの組み合わせ。ただし、あなたが持っているのは別の話です。いくつかの例外を除いて、あなたは実際にあなたが持っているものを提供しません。通常は、お使いのデバイスに何らかの形で表示される一時的なコードを入力します。そして、どのデバイスを常に持っていますか?そうです、あなたの携帯電話。
Table of Contents
SMSおよび2要素認証
一時的なパスコードを携帯電話にテキストで送信するのは明らかな解決策です。それは迅速で、安価であり、しばらくの間、他の選択肢はありませんでした。今日まで、この種の2要素認証を提供する多数のオンラインサービスがあり、多くの人々がそれを使用しており、それが世界で最も賢明なことだと考えています。
しかし、セキュリティの専門家はしばらくの間疑念を持っていました。問題は、彼らが懸念を表明するとき、過度に偏執狂的であるとしばしば批判されることです。 。ただし、SMSと2要素認証の場合、懸念は対象のテクノロジに関する冷たくて堅い事実に基づいているため、軽視してはなりません。
SS7 – SMSの送受信にまだ使用されている古代の技術
Signaling System No. 7(SS7)は、最初の携帯電話が登場して以来、特にテキストメッセージの送信に使用してきたプロトコルのコレクションです。実際のプロトコルは1975年に開発されたものであり、40年以上前の技術と同様に、1つまたは2つの欠点があることも証明されています。
セキュリティの観点から、特に過去10年ほどの間、物事は特に心配でした。専門家は2008年からSS7の脆弱性について話し合っており、最初の欠陥により被害者の追跡が可能になり、その後の発見により詐欺師が電話やメッセージを転送して傍受できるようになりました。理論的には、通信プロバイダーのみがSS7ネットワークにアクセスできる必要がありますが、実際には、誰でも地下市場に行って、情報の流れをざっと見ることができるツールを購入できます。
専門家は最初の脆弱性を発見するとすぐに、SS7はユーザーのプライバシーを保護するのに不十分であると宣言し、より現代的なものを置き換える必要があると述べました。しかし、どうやら、通信プロバイダーは脅威はそれほど深刻ではないと考え、セキュリティコミュニティの呼び出しは無視されました。 2017年、避けられない事態が起こりました。
欧州のモバイルサービスプロバイダーであるO2-Telefonicaのドイツ支社は、犯罪者がSS7ネットワークの欠陥を悪用した後、顧客の一部が銀行口座を流出させたことを認めました。最初に、ハッカーはソーシャルエンジニアリングを使用して、被害者をだましてコンピュータにマルウェアをインストールさせました。盗まれたユーザー名、パスワード、電話番号で武装して、詐欺師は深夜にユーザーのアカウントにログインしようとしました. 次に、2要素認証コードでSMSをインターセプトし、お金を吸い上げました。
事件の余波で、より多くの人々がSS7に取って代わる新しいテクノロジーを求め始めましたが、問題の事実は現時点では単に代替手段がないことです。これは、 SIMスワッピングの脅威とともに、SMSを2FAコードを転送するための媒体として完璧ではありません。これは、どのような状況でも、SMS 2要素認証を使用すべきではないということですか?
SMS 2要素認証は、2要素認証なしよりも優れています
SMSは、特に2FAコードのような機密性の高いものに使用される場合、その欠点があります。ただし、一部の人々は警告に少し夢中になっていると言わなければなりません。実際、SS7攻撃は単なる理論上の可能性ではなく、O2-Telefonicaの顧客が証言できるように、現実です。ただし、この種の犯罪は、高度なスキルと意欲を兼ね備えた高度なハッキンググループによってのみ実行されます。そして、一般的な信念に反して、それらの多くは周りにありません。ユーザーを食い物にするサイバー犯罪者のほとんどは、そのような攻撃を実行するための知識もリソースも持っていません。 SIMスワッピングについても同じことが言えます。
いずれにせよ、二要素認証を有効にすることで、テキストメッセージを傍受するのに十分なスキルを持っていたとしても、あなたは少なくとも彼らの生活をより困難にしているのです。それは常に良いことです。
いくつかの選択肢があることを知っているはずです。 Google Authenticatorのような2要素認証アプリは、コードをローカルで生成します。つまり、詐欺師はそれらを傍受できません。さらに安全にしたい場合は、いつでもU2F認証トークンを見ることができます。
これらのオプションにも問題はありませんが、特にメールやオンラインバンキングアカウントなどの重要なものを保護している場合は、テキストメッセージよりもはるかに優れた機能を発揮します。使用するすべてのサービスの2FAオプションを確認し、テキストメッセージよりも安全なものを選択できる場合は、必ず実行してください。 SMSが唯一のオプションである場合でも、2FAが有効になっていることを確認する必要があります。