TechCrunchが報じた大規模なセキュリティ侵害は、 Appleの2要素認証(2FA)に対するアプローチの意味を浮き彫りにした。
セキュリティ上の不備により、パスワードリセットリンク、二要素コード、発送通知などを含む数千万件のテキストメッセージを含む大規模なデータベースが公開されました。
公開されたサーバーは、サンディエゴに拠点を置く通信会社Voxox(旧Telcentris)のものです。サーバーはパスワードで保護されておらず、場所を知っている人なら誰でも侵入し、ほぼリアルタイムで流れるテキストメッセージを盗聴することができました。
TechCrunchは、侵害の実際の規模はまだ不明だと述べた。
TechCrunchの問い合わせを受け、Voxoxはデータベースをオフラインにしました。閉鎖時点では、データベースには今年に入ってから2,600万件強のテキストメッセージが保存されていたようです。しかし、データベースのビジュアルフロントエンドから確認できる、プラットフォーム上で1分間に処理されるメッセージの膨大な量を考えると、この数字は実際にはもっと高い可能性があります。
漏洩したデータの「大まかな調査」で、booking.com、Google、および少なくとも2つの金融サービス会社の2FAコードが見つかった。
テキストメッセージによる2FAコードの問題点
この概念に馴染みのない方のために説明すると、2 要素認証は、パスワード 1 つではなく 2 つの安全な情報を要求することで、オンライン サービスのセキュリティを強化することを目的としています。
多くの実装では、携帯電話番号をサービスに登録すると、パスワードと一緒に入力する必要があるワンタイム コードがテキストで送信されます。
問題は、SMSが特に安全なプロトコルではないことです。テキストメッセージの送信基盤となるSS7ネットワークには、既知の脆弱性が複数存在します。テキストメッセージは多くの場合、プレーンテキストで送信されます(通信事業者には暗号化を使用するオプションがありますが、実際には使用されないことが多いです)。SMSはストアアンドフォワード方式であるため、メッセージは送信経路の複数の地点でシステムに保存されます。また、今回のケースで見てきたように、2FAコードの送信にはサードパーティ企業を利用するのが一般的であるため、各企業のセキュリティ基準に左右されることになります。
認証ソフトウェアの標準を定める米国国立標準技術研究所が、SMS ベースの 2FA の使用を禁止しようとしているのは、こうした弱点のためです。
Appleのアプローチ
Appleはテキストメッセージによるコード送信オプションを提供しています。Appleデバイスを1台しか持っていない人もいるからです。テキストメッセージによる2FAコードは、何もないよりはましです。
しかし、Appleの主なアプローチは「信頼できるデバイス」という概念を用いることです。Apple IDをデバイスに紐付け、そして重要なのは、そのデバイスへのサインインに2FAを使用すると、Appleはそのデバイスを「信頼できる」デバイスと見なします。つまり、他のデバイスから2FAコードが要求されるたびに、そのデバイスに6桁の2FAコードが表示されるのです。
Appleのアプローチが優れている理由はいくつかあります。Apple独自のシステムを使用しているため、セキュリティプロトコルを完全に制御できます。コードは暗号化された状態でデバイスにプッシュされ、Appleは信頼されたデバイスごとに固有のシードを使用します。
この固有のシードは、ユーザーが信頼できるデバイスのリストからデバイスをいつでも削除できることも意味します。削除されると、そのデバイスは2FAコードの受信を許可されなくなります。そのため、Appleのアプローチは、共通のシードを使用する認証アプリよりも優れています。
Appleのデバイスベースの2FAシステムは、ユーザーにとっても使いやすいです。テキストメッセージとは異なり、モバイルデータ通信回線は必要ありません。Wi-Fiで十分です。また、私が使用した限りでは、プッシュコードは毎回即座に届きました。テキストメッセージは数分、数時間、あるいは全く届かないこともありますが、これとは対照的です。
Apple IDの保護に2FAをまだ使用していない場合は、ぜひ導入を強くお勧めします。手順については、こちらのガイドとAppleのサポートドキュメントをご覧ください。
写真: PCWorld
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
