4 か月後の更新: 偽の Microsoft Authenticator アプリが削除を生き延びましたが、最終的には 6 月に削除されました...

更新：Apple は現在、詐欺的な認証アプリのほとんどを App Store から削除しました。記事の最後をご覧ください。

Twitter の最近の愚かな行動により、詐欺的な認証アプリが急増しており、そのうちの少なくとも 1 つは、App Store の広告を使用して検索結果で目立つようにし、スキャンした QR コードをすべて開発者の分析サービスに送信しています。

他にも、無料のように見えて、QR コードをスキャンするためにアプリ内購入が必要なアプリが多数あります...

Twitterが認証アプリへの関心を刺激

Twitterは先週、SMSベースの2要素認証（2FA）をTwitter Blueの有料会員制の背後に置くことで、アカウントの安全性を有料サービスとして販売するという素晴らしいアイデアを思いついた。

Twitterは3月20日より、SMS経由の2段階認証を利用する際にTwitter Blueの利用を必須とします。本日正式に発表されたこの変更は、まさに大きな一歩です。Twitterによると、3月20日をもってSMSキーを使用し、Blueの料金を支払っていないユーザーについては、2段階認証を無効にするとのことです。

それが誰のアイデアだったかは、推測するに難しそうです。

確かにSMSによる2FAはひどいもので、保護されたアカウントすべてがSIMスワップ攻撃に対して脆弱になります。Twitterが単にこのサポートを廃止し、認証アプリの使用を全員に求めるのであれば、それはそれで構いません。しかし、TwitterはSMSに料金を課すことで、SMSがプレミアムオプションであるかのような印象を与えています。

これにより、詐欺的な認証アプリが非技術系のユーザーから金銭、さらにはアカウントを奪い取る絶好の機会が生まれています。

開発者兼セキュリティ研究者の Mysk 氏は、QR コードをスキャンするためにアプリ内サブスクリプションの購入を要求する、疑わしいほど類似した多数のアプリをすぐに発見しました。

認証アプリは時代を超えた芸術！これらの認証アプリはすべて無料で、アプリ内課金もあります。インストールしてみると、年間40ドルのサブスクリプション（3日間の無料トライアル付き）に加入しないとQRコードをスキャンできないことに気づきます。アプリはどれもよく似ています。

彼はすぐに 12 個ほどのバグ (上の画像) を見つけ、なぜアプリのレビューで発見されなかったのかと疑問を抱きました。

App Storeはこれらのアプリについて何らかの対策を講じるべきです。詐欺師がホワイトラベルアプリを購入し、リブランドして@AppStoreに配信しているようです。一般ユーザーなら、これらのアプリの間には驚くほどの類似点があることに気付くはずです。なぜApp Reviewチームはそれに気づかなかったのでしょうか？

これらのうち少なくとも 1 つは、閉じるボックスをタップしても強制的に登録させようとします。

ある詐欺アプリはQRコードさえも読み取ります。探すのに苦労する必要はありません。開発者はApp Storeに広告を出しているので、認証アプリを検索すると目立つように表示されます。

認証アプリを探すときは注意が必要です。このアプリはスキャンしたQRコードを開発者の#Googleアナリティクスサービスに送信します。見逃すことはありません。#AppStoreで広告キャンペーンを実施しています。

安全な認証アプリ

iOSでは、2FAの組み込みサポートが利用できるようになりました。また、Google Authenticatorがデフォルトの選択肢となっており、Mysk氏はこれを使わない理由は見つかっていないと述べています。

最近、Twitter での使用方法について詳しく説明しました。

Appleは詐欺アプリを削除した

Mysk は、Apple が同社が報告したアプリを削除したと報じている。

havebin.com を Google ニュース フィードに追加します。