ツイッター「SMS認証廃止」理にかなっているワケ
SMSを使った2要素認証はそれほど安全ではない
https://toyokeizai.net/articles/-/655770?page=3
ツイッターなどは長年にわたり、ユーザーに対しSMSを使った2要素認証を設定するよう推奨してきた。この方法を使うと、ユーザーの電話に有効期限のあるセキュリティコードが送られる。
2要素認証としては最も広く使われてきた手法だ。というのは、携帯電話はほとんど誰もが持っているし、テクノロジーに詳しくない人でも理解できる手法だからだ。
ところが、年月がたつにつれ、SMS認証に関する問題がセキュリティーの専門家たちから次々と指摘されるようになった。
認証コードを含むSMSのメッセージは、電話番号を乗っ取る「SIMスワッピング」と呼ばれる詐欺で盗み取られることがある。
ツイッター前CEOのジャック・ドーシーのツイッターアカウントを2019年に乗っ取ったハッカーが用いたのも、この手法だった。
問題はほかにもある。SMSのメッセージは暗号化されていないため、中国やロシアのように厳しい監視が行われている外国のネットワークでSMSを受信することは、セキュリティー上のリスクとなりかねない。
セキュリティーの専門家たちはSMS認証の欠陥を新たに見つけ出しているため、SMSでのコード受信をやめるようユーザーに促すサイトやアプリは増えることが予想されると、前出のエリスは言う。