11月22日、Twitterが電話番号を登録することなく2段階認証が利用可能になったことを発表した。
2段階認証は、IDまたはメールアドレスとパスワードに加えて、一定時間しか使用できない“認証コード”の入力等が必要になる強固なログイン方法だが、電話番号を利用することで第3者がハッキングできる事象が確認されていた。
広告にも利用されていた電話番号
アカウントの乗っ取り対策として効果的な2段階認証だが、“SIMスワッピング”の存在でSMSメッセージで認証コードを受け取る方法は万全ではないことがわかった。
“SIMスワッピング”は、悪意のある第3者がアカウントに紐付いた電話番号を特定し、携帯電話事業者をだまして別のSIMカードに電話番号を移すというもの。これによって本人しか知り得ない認証コードが第3者に渡ってしまうため、アカウントへの不正アクセスが可能になり得る。
Twitterの創業者であるジャック・ドーシーCEOも“SIMスワッピング”の被害者で、今年8月にはSMSによるツイート投稿と併用してアカウントがハッキングされてしまった。
今回、2段階認証において電話番号の登録を不要にしたのは“SIMスワッピング”によるハッキングを回避することに加えて、2段階認証で得た電話番号を広告目的で使っていたことに対する反省だ。なお、2段階認証で電話番号の登録が不要になったことで、2段階認証をオンにしたままTwitterから電話番号を削除することも可能になっている。
We're also making it easier to secure your account with Two-Factor Authentication. Starting today, you can enroll in 2FA without a phone number. https://t.co/AxVB4QWFA1
— Twitter Safety (@TwitterSafety) November 21, 2019
ちなみ、Twitterではパスワードレス認証を実現するWebAuthnを導入しており、現在はUSBなどのセキュリティキーを使用した2段階認証に対応しているが、将来的には他のオプション(Touch IDなどスマホの生体認証)でも利用可能になるという。
コメントを残す