TwitterがSMSによる2要素認証の有料化を発表しました。表向きな理由はSMSを使った2要素認証の脆弱性によるものです。
SMSの2要素認証が問題視されたのはSIMハッキング(第三者がSIMカードの紛失届を出すなどしてSIMカードを乗っ取る行為)によるアカウントの乗っ取り行為が流行した数年前のことです。これをきっかけにインスタグラムはアプリ認証による2要素認証のサポートを開始しました。
約5年も放置してきたSMSの2要素認証を今になって対処しようとしたことについてはイーロンマスク体制になったからという理由付けができますが、よくわからないのは脆弱性があるにも関わらずサブスクを契約するTwitter Blueには提供を続けることです。
SMSによる2要素認証を有料化する本当の理由は電話会社によるSMSの2要素認証を利用した詐欺行為にあったようです。
電話会社がボットアカウント使ってSMS費用を請求していると主張
チャンネル登録者1670万人を誇るテック系YouTuberのMKBHDがSMSによる2要素認証の有料化について「ルールその1:それまで無料だったのものに課金してはいけない」とコメント。
これは同氏がインターネットを利用する上での決まり事として何年も前から発言しているもので青いバッジが有料化された時にも引用されていました。
MKBHDの指摘に対してイーロンマスクは電話会社が数十億ものボットアカウントを駆使してSMSによる認証コードの送信を何度も繰り返す行為をしていると主張し、Twitterが年間6000万ドルーー日本円にして80億円を支払う詐欺に遭っていることを明かしています。
Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages
— Elon Musk (@elonmusk) February 18, 2023
Watch the Twitter Space Interview pic.twitter.com/oZrOUcwHGz
— T(w)itter Takeover News (@TitterTakeover) February 18, 2023
過去にローソンの電子チケットアプリ「ローチケ」では、国際SMSによる認証費用をユーザーに請求し、アクセス集中によって認証コードが届かないことから何度も認証コードの送信依頼を行ったユーザーに多額の請求が来た問題がありました(後に返金案内があった)が、Twitterも含めてほとんどの場合は2要素認証を提供する側が電話会社に費用を支払っています。
もし本当に電話会社がSMSによる2要素認証を悪用していて確証があれば、表向きに説明してユーザーの理解を得ることもできたはずですが、Twitterはそうしませんでした。
イーロンマスクの主張によってTwitter Blueの加入者向けにSMSによる2要素認証を提供し続ける理由も判明。同氏はボットアカウントが金を払ってまでサブスクに加入することはないため、Twitter Blueユーザーであれば詐欺行為を排除しつつSMSによる2要素認証を提供できると考えているのでしょう。
ちなみに、今回の件で2要素認証そのものが有料化されるわけではなく、SMSを使った2要素認証が有料化されるだけでアプリ等を使用する場合は今後も無料で利用できます。
2023年3月20日までにSMSからアプリ認証に移行していない場合は2要素認証が解除されてアカウントが乗っ取られやすくなるため、こちらの記事を参考に2要素認証をSMSからアプリ認証に移行してください。
なお、SMSによる2要素認証はSIMハッキングの危険性だけではなく、電話番号が変わったときに登録変更を忘れたまま利用を続けてアカウントにログインできなくなったという問題が多発しているので、インスタグラムなど他のサービスについても設定を見直すことをオススメします。
コメントを残す