「アカウントログインやパスワードリセットにSMSを採用している企業はSIMスワップ攻撃の責任を問われるべき」との主張

AppleやGoogle、Dropboxなどの企業は、アカウントログインやパスワードリセットの際にショートメッセージサービス(SMS)を利用します。一方で、攻撃者が相手のSIMを乗っ取った上で、SMSを用いた2要素認証を突破する「SIMスワップ攻撃」と呼ばれる詐欺が近年発生しています。海外メディア・Techmemeの編集者であるスペンサー・ダイリー氏が、「アカウントログインにSMSを採用している企業は、SIMスワップ攻撃の責任を問われるべき」と主張しています。
Companies embracing SMS for account logins should be blamed for SIM-swap attacks – Key Discussions
https://keydiscussions.com/2024/02/05/sim-swap-attacks-can-be-blamed-on-companies-embracing-sms-based-password-resets/

SIMスワップ攻撃とは、フィッシングなどで入手した被害者の個人情報を利用して電気通信事業者をだまし、被害者のSIMカードを攻撃者のSIMカードと入れ替えさせる詐欺の手口のことです。被害者のSIMカードを入手することで、攻撃者は電話番号を用いた通話やSMSによる2要素認証を突破して、被害者のインターネットサービスのアカウントやオンラインバンキングシステムの口座などを乗っ取ってしまいます。
アメリカでは、「番号ポータビリティ(LNP)」制度によって、SIMカードの移行が簡単に行えることから、SIMスワップ攻撃の発生は後を絶たないとのこと。実際にダイリー氏は、Techmemeで報じられたSIMスワップ攻撃に関する記事の件数が膨大な量になることを報告しています。

SIMスワップ攻撃を阻止する方法は非常に単純で、「SMS経由でのログインを禁止する」「SMS経由でのパスワードリセットを禁止する」ことが挙げられます。また、SMSを用いて2要素認証を行う必要がある場合、AuthyやGoogle Authenticatorのような2要素認証を安全に行うオプションを導入することが重要だとダイリー氏は説いています。
ダイリー氏はSMSを用いた2要素認証について「顧客にSMSを送信することは、郵便ハガキを送信するようなものです。これらは暗号化されていない、いわゆる『プレーンテキスト』で、誰でも傍受することができます。そもそもこのプロトコルは、安全性を高めるような設計が行われていません」と指摘。「SMSベースのログインが今後良いものになる可能性はありません」と厳しく批判しています。
SIMスワップ攻撃が発生した場合、被害者からの怒りのほとんどは通信事業者に向けられます。実際、通信事業者は「正しく顧客の電話番号を保護する」という仕事を怠ったことから、法的な責任が発生する可能性があります。しかし、ダイリー氏は「こうした脆弱(ぜいじゃく)な通信事業者のシステムを用いてSMSベースのパスワードリセットやログインオプションなどを提供する、AppleやGoogleなどの企業にも責任がある」と指摘しています。

その手軽さから少数の企業が始めた「認証フローにSMSを組み込む」という選択肢は、次第に競合他社に広がりました。ダイリー氏によると、「SHAKEN/STIR」のようなプロトコルを導入することで、2要素認証はより強化されますが、テクノロジー企業がこのような仕組みを導入するそぶりは見られないとのこと。「ユーザーはSMSを用いた2要素認証と、それに伴うSIMスワップ攻撃によって来る日も来る日も被害を受けていますが、テクノロジー業界はその実態を曖昧にしています」とダイリー氏は批判しました。
ダイリー氏はSMSによる2要素認証を導入する企業の実例を挙げています。
・Apple
2018年にAppleは、iPhoneに届いたSMSに記載されたワンタイムコードを自動的に入力できる機能を導入しています。また、SMSを利用してAppleアカウントをリセットできるオプションも提供されています。
・Google
Appleと同様に、Googleも2019年、ワンタイムコードを自動入力する機能をAndroidに導入しました。
・AmazonやMicrosoft、Googleなどのクラウドプロバイダー
ワンタイムコードを発行し、SMSで送信することで、AWSやAzure、Google Cloudなどを運営するプロバイダーにはインセンティブが入ってきます。そのため、これらの企業はSMSを用いたワンタイムコードの送信テクノロジーを「安全なソリューション」として販売しています。
・資金管理サービス
PayPalなどの資金管理サービスでも、SMSを用いたアカウントログイン機能やパスワードリセット機能が提供されています。
・その他の企業
食品注文サービスやSNS、Dropboxのようなデータストレージ会社まで、さまざまな企業がSMSを用いたログインやパスワードリセットを導入しています。これらのサービスでは、当然ながらSMSを用いたシステムをオフにすることはできません。
ダイリー氏は「システムが安全かどうかを判断するのは顧客の仕事ではなく、テクノロジー企業の仕事であるにもかかわらず、テクノロジー企業は顧客をSIMスワップ攻撃の危険に常にさらしています」と批判。さらに企業に対し「この状況を社会に訴えかけ、SMS認証サービスのサポートを撤廃させるべき」と主張しています。ダイリー氏は「訴訟の発生と新たな法律の制定によって、この状況が変化することを願っています」と述べました。