今回取り上げた SMS へのコード送信による認証の廃止については、5月中旬に Microsoft Support のサイトにもUPされていたのですが、取り上げる機会がなかったため、改めて取り上げさせていただきました。
「個人アカウントの SMS コードの送信を停止する」にもあるように、今後順次 SMS へのコード送信による認証が廃止されていくことになりました。その背後には、パスキーへの移行という背景と同時に、
- 通信経路の脆弱性:SMSは平文で携帯電話ネットワーク上を流れる。技術的に傍受が可能な経路が存在する
- SIMスワップ攻撃:攻撃者が携帯キャリアを騙してあなたの電話番号を自分のSIMに移管させる手口が確認されている
- フィッシング耐性がゼロ:偽サイトに誘導してコードを入力させるだけで突破が可能
といったセキュリティ事情の変化により、昨今のSMSへのコード送信による認証は、本人確認する手段としてふさわしくないということに至っているようです。
【電話は本人確認のための確実な通信手段ではない】
セキュリティ事情は常に変化し、新たな手段が導入されても、それも時間の問題で、結果新たな方法へと変わらざるを得ないのが現状です。アカウントの乗っ取り被害などが多い個人向けアカウントにおいては、利用者のセキュリティに対する認識の甘さも手伝って、そうしたものの温床になっていることは否定できません。
Phishing 対策として、一部で導入が始まっているメールにおけるブランドアイコンの導入。送信者認証をすることで、確実にその会社から来ているよ?ということを証明するものとしてブランドアイコンの導入をしているところが増えつつありますが、昨今では、これも必ずしも信用できるものでもなくなってきています。
ちょっと前ですが、Microsoft の公式メールアドレスを装ったフィッシングメールの被害が確認されたのも記憶に新しいところ。
事情は常に変化するものですから、常にアンテナを張って最新の情報に注意を傾ける必要があります。
-- SMS に変わるもの:
基本的には、冒頭にも書きましたが、パスキーへの移行が推奨されます。または、Microsoft Authenticator を使用する方法などに推移していくことになります。
--Microsoft・Google・Apple がパスキーを推す理由:
弱点はあるものの、SMS・パスワードより圧倒的に安全だからです。
比較するとこうなります:
| 認証方式 | フィッシング耐性 | SIMスワップ耐性 | 盗難時のリスク | 総合安全性 |
| SMSコード | ほぼゼロ | 弱い | 中 | 低 |
| パスワード | 低 | 関係なし | 中 | 中〜低 |
| パスキー | 非常に高い | 強い | 生体突破が必要 | 高 |
つまり、「完璧ではないが、現実的に最も安全」という位置づけということになります。
現在推奨される「パスキー」も現在は推奨されているものの、パスキーも乗っ取られるケースも発生しています。また生体認証であっても、攻撃者が勝手に指紋/顔を追加してしまう生体ハイジャックなども確認はされているので、こうしたセキュリティ事情は常に変わってくるものです。
銀行や証券会社などの金融関連機関においては、パスキーへの移行が進みつつあります。今後はもっとこうした流れに拍車がかかるんでしょうね。
<参照>
【関連する記事】
- Exchange Online へのPOP3 および IMAP4 接続に対するレ..
- Copilot で OneDrive がさらに便利に!
- Microsoft MVP を再受賞!
- Microsoft Rewards とは?
- Microsoft サービスのステータス表示が新しくなった
- Microsoft アカウントのサインインエクスペリエンスを更新 〜よりモダンで..
- 2月からの Microsoft アカウントの仕様変更が延期?
- デスクトップの壁紙が指定したものにならない
- OneDrive 上の Excelファイルを開くと「このコンテンツは、潜在的なセ..
- OneDrive 上の Excelファイルを開くと「このコンテンツは、潜在的なセ..
