新たな報告によると、テキストメッセージで送信された約100万件の2要素認証コードが傍受された可能性があることが判明した。

テクノロジー業界の内部告発者は、2FA セキュリティ コードが、政府の諜報機関やデジタル監視に携わる企業とつながりのある無名の外国企業を経由して渡されていたことを明らかにしました。

SMS 2FAコード

2要素認証（2FA）コードは、ハッカーにログイン情報が漏洩した場合でもアカウントを保護するためのものです。2FAを有効にすると、パスワードの確認後、本人確認のために6桁のコードを入力するよう求められます。

このコードは、アカウントにリンクされたローリング コードを持つ認証アプリによって提供される場合もあれば、Web サイトまたはアプリから登録した携帯電話番号にテキスト メッセージとして送信される場合もあります。

後者のオプションの問題は、SMS 通信は完全に暗号化されていないため、これらのコードは通信ネットワークで傍受される危険性があることです。

100万件のコードが傍受された

傍受プログラムについて内部告発者が現れ、その主張を裏付ける証拠をブルームバーグに提供した。

業界の内部告発者が  、2023年6月中に送られた二要素認証コードを含む約100万件のメッセージに関する非公開の電話ネットワークデータをブルームバーグ・ビジネスウィークと調査報道機関ライトハウス・リポートに提供した。

これらはすべて、スイスの無名企業「フィンク・テレコム・サービス」の手に渡りました。同社とその創業者は、政府の諜報機関や監視業界の請負業者と協力し、携帯電話を監視し、ユーザーの位置情報を追跡してきました[…]

送信者には、Google、Meta、Amazon.com、複数の欧州銀行、TinderやSnapchatなどの人気アプリ、仮想通貨取引所Binance、暗号化チャットプラットフォームSignalやWhatsAppなどが含まれています。宛先の受信者は5大陸100カ国以上にいました。

つまり、ユーザー名とパスワードにアクセスできるハッカー（政府機関を含む）は、2FA が有効になっている場合でも、アカウントにログインできる可能性があります。

フィンク社のCFOは、同社は「ルーティング機能」を提供しているだけで、「監視業務はもはや行っていない」と主張した。しかし、セキュリティ専門家は、テキストメッセージによる2FAコードがアカウントへの侵入に使用された事例にフィンク社が関与していると指摘している。

9to5Macの見解

これは、2FAコードにはテキストメッセージではなく認証アプリを常に使用すべき理由のもう一つの例です。さらに安全なのはパスキーです。パスキーでは、Face IDまたはTouch IDを使用してローカルで本人確認を行い、サイトやアプリにパスワードが送信されることはありません。

Appleは独自の2FAシステムを使用しており、コードは他のAppleデバイスに送信されます。この方法は安全です。

注目のアクセサリー

• Amazon Alexaデバイス
• Anker 511 Nano Pro 超小型iPhone充電器
• SpigenのiPhone 16e用MagFitケースがMagSafe対応に
• iPhone 16モデル用25W出力のApple MagSafe充電器
• 上記に対応するApple 30W充電器
• Anker 240W 編組 USB-C - USB-C ケーブル

UnsplashのGilles Lambertによる写真

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。