警察庁は4月22日、犯罪インフラ化するSMS認証代行への対策について発表した。(記事はこちら)
SMS認証代行で不正アカウントの作成が可能となることについて取り上げられています。SMS認証の仕組みや、セキュリティの観点からSMSの利用で気を付けるべきポイントについて説明します。
SMS認証とは、ショートメッセージで利用者の電話番号に認証コードを通知して、そのコードを用いて認証する方式です。IDとパスワードを「知っている」ことに加えて、ショートメッセージを受信できる電話番号を「持っている」という2つの条件を満たしていることから、「二段階認証」や「二要素認証」と呼ばれている仕組みです。また、インターネットと電話回線と経路を分けていることから「二経路認証」とも呼ばれています。SMS認証の主な目的は、アカウント情報が漏洩してしまった場合でも、もう一段階の認証を必要とすることで、なりすましの被害を防ぐことです。
今回、問題となっているのは、このSMS認証を代行する事業者で、匿名性から犯罪インフラとして悪用される可能性があるということです。警察庁は総務省と連携して通信事業者に対して、SMS機能付きデータ通信の契約時に確実な本人確認を要請し、各都道府県の警察に対しても、取り締まりの強化を指示しているということです。
SMS認証代行は、ショートメッセージの受信に必要な契約や、ショートメッセージの受信自体を代行するものです。なぜSMS認証代行が問題になっているかについて説明します。
まず、SMS認証による本人確認は、電話番号でショートメッセージを受け取られるのが利用者本人であることと、ショートメッセージが受信できる電話番号の割り当において、通信事業者が利用者の本人確認を行っていることが前提となっています。ところが、SMS認証代行では、ショートメッセージの利用者はおろか、通信事業者によっては本人確認をすることなく契約できてしまうことがあり、警察の捜査に支障をきたしているということです。
よって、SMS認証代行を悪用することによって、極めて匿名性の高い状態でショートメッセージを受信できることになります。つまり、ショートメッセージを本人確認のよりどころとしているシステムやアプリケーションは、仕様の変更を余儀なくされることになります。例えば、匿名性の高い電子決済アプリのアカウントが作成されてしまった場合、マネーロンダリングなどに悪用されてしまう可能性があります。
スミッシングとは、SMSを悪用したフィッシング攻撃です。フィッシング攻撃とは、攻撃者が用意した偽サイトに被害者を誘導して、アカウント情報やクレジットカード情報を窃取することを目的としています。スミッシングとは、SMSとフィッシングを組み合わせた造語で、偽サイトへの誘導にSMSを利用するものです。最近ではショートメッセージで宅配業者を装い、Apple IDとパスワードを窃取するものが現れているようです。
スミッシングの被害にあわないための対策は、ショートメッセージで受信したURLを開かないことです。スミッシングの被害は誘導された偽サイトに自ら個人情報を入力することによって発生しているため、ショートメッセージでクリックを求められるような本文である場合は注意が必要です。
また、ショートメッセージで提供元不明のアプリをインストールするよう求められた場合は、スミッシングである可能性が高いと考えられます。スマートフォンのアプリはGoogle PlayやApp Storeからインストールするようにしましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ