暗号化とセキュリティ標準の策定を担当する米国政府機関、国立標準技術研究所 (NIST) は、最新の標準草案で、アウトオブバンド (OOB) 認証システムに対する SMS ベースの認証を廃止することを提案しました。
ここ数年、SMSベースの2要素認証は、様々なオンラインサービスにおける2段階認証の選択肢として人気が高まっています。これは、誰もがSMS対応の携帯電話を持っていること、そして使い方が比較的簡単であることなどが理由です。サービスのセキュリティ設定に電話番号を入力するだけで、ログイン時にパスワードと、SMSで自動的に携帯電話に送信されるコードの両方が必要になります。
しかし、ここ数年、セキュリティ研究者たちは、携帯電話は諜報機関だけでなく、一般のハッカーによっても、シグナリングシステム7(SS7)を介して容易に傍受される可能性があると警鐘を鳴らし始めています。これにより、SMS機能がハッカーに公開され、ハッカーは自分のSMSコードを送信してオンラインアカウントにアクセスできるようになるのです。
NISTはSMSによる二要素認証を信頼しなくなった理由については明言していませんが、他の選択肢を優先し、SMSによる二要素認証を廃止すると述べています。これらの選択肢には、帯域外認証コードを生成できる安全なアプリケーション(Google Authenticatorなど)をスマートフォンで使用することや、帯域外認証に使用できる他のデバイス(セキュリティキー、スマートカードなど)を使用することが含まれます。暗号鍵がデバイスに保存されている場合は、トラステッド・プラットフォーム・モジュール(TPM)、キーチェーンストレージ、またはトラステッド・エグゼキューション・エンバイロメント(TES)を使用する必要があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
