2段階認証方式の抜け穴
より高度なセキュリティのために2段階認証方式を使い始めた人も多いと思う。
2段階方式はグーグルアカウントへのログインで使われている例が代表的だが、通常のパスワード入力の第一段階に加えて、ワンタイムのコードやセキュリティキーを自分のスマホにSMS、音声通話などの方法で送ってもらい、合わせて使うことでアカウントの保護を強化する仕組みだ。
問題点は携帯事業者のルーティン
この2段階方式を使うことで逆にハックされる危険性が増えていたとしたら?
セキュリティの専門家が試したところ、ワンタイムコードを発行する携帯事業者側でのプロセスに大きなセキュリティ上の欠陥があった。
実験で指摘されている問題点は、事業者に電話をして自分の電話にかかってくる電話をすべて異なる番号に転送をしてほしいと頼むと、じゅうぶんな本人確認なしで転送の手続きがとられてしまっていた点。
ハッカーはこのやり方で、スマホの持ち主と偽り簡単に他人のコードを入手し、gメールなどのアカウントにログインすることが可能となっていた。
本人確認方法を強化
1ヶ月近く前、この方法でハックできることがスクープされてから、各携帯電話事業者では本人確認の方法を強化している。例えばTeliaではBank IDによる本人認証へ変更し、Tele2やTelenorでは秘密の質問や、新しい番号へのコールバックによる本人確認などよりセキュリティを高めた方法に変更している。TreもBank IDによる本人確認へと変更予定だ。
それでも一番危ないのは?
セキュリティに関しては、このようなプロセス上の欠陥は一時は問題になっても修正されるが、同じパスワードを使いまわしている本人の怠慢によるものは、このような努力とはまったく別の次元の問題で、非常に危険でかつ救えないということですので、ぜひこの年末年始、このあたりの見直しを!
セキュリティを高めてもあなたのスマホはこうして乗っ取られる (SVT Nyheter)
swelog スマホは5分でハックされる – PitPa(ピトパ)