マイクロソフト、多要素認証にSMSや音声通話は利用しないよう警告：SIMスワップできないものを試そう

マイクロソフトは火曜日、公衆交換電話網が関係する場合を除いて、インターネットユーザーに対し多要素認証（MFA）を採用するよう勧告した。

多要素認証とは、ご存知ない方のために説明すると、パスワードベースの認証に1つ以上のアクセス要件を追加することです。例えば、オンラインバンクは、特定の口座に関連付けられた携帯電話番号にテキストメッセージを送信することで、口座のパスワードを入力した人物が口座へのアクセス権限を持っている可能性を高めることができます。

この手法は完璧ではありませんが、被害者のオンラインアカウントのパスワードにアクセスしたり、様々な手法でパスワードを推測したりする攻撃者に対する追加の防御策となります。MFAはパスワードマネージャーと併用することもできます。多要素認証は、追加の保護層と考えてください。

マイクロソフトのアイデンティティセキュリティ担当ディレクター、アレックス・ワイナート氏はブログ記事で、MFAは必ず使用すべきだと述べています。ワイナート氏によると、あらゆる種類のMFAを使用しているアカウントが侵害される割合は、一般人口の0.1%未満だそうです。

同時に、電話ベースのプロトコルは根本的に安全ではないため、ワンタイムパスコード（OTP）の処理にSMSメッセージや音声通話に頼るのは避けるべきだと主張している。

「これらのメカニズムは公衆交換電話網（PSTN）をベースとしており、現在利用可能なMFA方式の中で最も安全性が低いと考えています」とワイナート氏は述べています。「MFAの導入により、攻撃者がこれらの方式を破ろうとする関心が高まり、専用の認証システムがセキュリティと使いやすさの面で優位性を高めるにつれて、その差はますます広がるでしょう。」

SIMスワッピング（悪意のある人物が顧客を装って携帯電話会社に電話をかけ、顧客の番号を攻撃者が所有する別のSIMカードに移行するよう要求する）などのハッキング技術や、SS7傍受などのより高度なネットワーク攻撃は、公衆電話ネットワークとそれを運営する企業のセキュリティ上の欠陥を露呈しました。

プリンストン大学のコンピュータ科学者たちは、今年初めにSIMスワッピングに関する研究論文[PDF]を発表し、その結果はワイナート氏の主張を裏付けました。彼らはAT&T、T-Mobile、Tracfone、US Mobile、Verizon Wirelessをテストし、「5社すべてが、攻撃者によって容易に破られる可能性のある安全でない認証チャレンジを使用していた」ことを発見しました。

また、電話認証を採用している140のオンラインサービスを対象に、SIMスワップ攻撃への耐性があるかどうかも調査しました。その結果、17のサービスで、攻撃者がSIMスワップによってアカウントを乗っ取ることができる認証ポリシーが採用されていることが分かりました。

9月、セキュリティ企業のチェック・ポイント・リサーチは、SMSメッセージから2要素認証コードを盗むためにAndroidのバックドアを設定するマルウェアの発見を含む、さまざまなスパイ活動について説明するレポートを公開した。

ワイナート氏は、SMSや音声プロトコルは暗号化を考慮して設計されておらず、ソーシャルエンジニアリングによる攻撃を受けやすく、信頼性の低いモバイル通信事業者に依存しており、規制が変化する可能性があると主張している。

彼の答えは、Android および iOS 向けのモバイル アプリである Microsoft Authenticator です。これを使用すると、ユーザーはパスワードの代わりに指紋、顔認識、または PIN を使用してログインでき、その標準をサポートするアカウントの場合は OTP を使用してログインできます。

「Authenticatorは暗号化通信を使用し、認証状況に関する双方向の通信を可能にしています。現在、ユーザーの安全確保を支援するため、アプリにさらに多くのコンテキストと制御機能を追加することに取り組んでいます」とワイナート氏は述べています。「昨年だけでも、アプリロック、ロック画面からの通知非表示、アプリ内サインイン履歴など、様々な機能を追加しました。導入を計画する頃には、これらの機能リストは増え続けるでしょう。SMSと音声通話が機能拡張されないまま、機能拡張は続くでしょう。」

Microsoftのゲートキーピングに不安を感じている方には、TwilioのAuthy、CiscoのDuo Mobile、Google Authenticator、1PasswordやLastPassなどのパスワードマネージャーといった代替手段があります。いずれもSMSや音声通話よりも優れたものとなるでしょう。®