無線通信事業者が情報交換に使用しているシグナリングシステム7(SS7)のセキュリティ上の欠陥は、長年にわたり公然の秘密でした。最近、議会議員もこれらの脆弱性に注目し始めましたが、この問題の修正を推進するための何らかの措置が講じられるかどうかは明らかではありません。
セキュリティ企業Positive Technologiesは、同社の研究者がSS7システムを悪用し、ワンタイムコードでログインするFacebookアカウントをハッキングできることを確認しました。Facebookのワンタイムパスワードの仕組みは、ユーザーが「otp」という単語を含むSMSを32665(米国)に送信すると、Facebookから6文字のパスワードが返信され、それを使ってサービスにログインできるというものです。Facebookは、ユーザーがアカウント設定で電話番号を事前に設定しておく必要があるため、本人確認を「行う」ことができます。
しかし、SS7をハッキングできる人物(どうやらそれほど難しくないようです)は、あなたに代わってワンタイムパスワード(OTP)リクエストを送信し、アカウントにログインすることができます。Facebookでは2要素認証を「ログイン承認」と呼んでいますが、設定している場合はワンタイムパスワードは使用できなくなります。SS7をハッキングできる人物は、SMSで送信される2要素認証コードを簡単に入手することもできますが、アカウントにログインするには1要素認証(パスワード)も知っておく必要があります。
「SS7ネットワークにセキュリティ上の欠陥があることは、弊社を含む多くの研究者によって証明されており、議論の余地がありません。問題は、通信業界全体がこの欠陥を黙認しているように見えることです」と、Positive TechnologiesのEMEAテクニカルマネージャー、アレックス・マシューズ氏は述べています。「根本的な脆弱性を修正するのではなく、多くのサービスでは、この欠陥のあるグローバル通信ネットワーク上に保護層を追加するよう奨励されています。その結果、セキュリティ強化どころか、携帯電話番号の追加によってハッカーが悪用できる扉が開かれてしまうケースも発生しています。例えばFacebookでは、パスコードを携帯電話に送信することを選択しない限り、ハッカーはSS7の脆弱性を利用してアカウントを乗っ取ることはできません」とマシューズ氏は付け加えました。
SMSベースの認証は、ソーシャルメディア、チャットアプリケーション、メールサービスだけでなく、銀行サービスでも推奨されており、ユーザーを金融詐欺の危険にさらす可能性があります。Positive Technologiesの最新の調査では、SMSコードを使ってサービスにログインすることは、ワンタイムパスワードとして使用する場合でも、認証の2要素として使用する場合でも、安全ではないことが示されています。
代替手段(2 要素認証用)としては、Google Authenticator、Authy などのモバイル アプリや、Nitrokey や YubiKey などのハードウェア トークン(Yubikey Neo などの一部のモデルは、NFC を介してスマートフォンでも動作します)などがあります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
