SMS 認証は良いアイデアではありません: Twilio と Signal ハッキングがそれを証明しています

人気の暗号化メッセージング アプリである Signal は、前述のプラットフォームにセキュリティ サービスを提供する Twilio が被害を受けた後、ユーザー 1,900 人の SMS で送信された電話番号と確認コードがハッカーの手に渡った可能性があると報告しました。 8月初旬に起きたセキュリティ侵害。 Signal はメッセージ履歴、プロフィール情報、連絡先データが安全であることを確認していますが、このハッキングは、SMS 認証がなぜ得策ではないのかを示す一例にすぎません。

Twilio のセキュリティ侵害は 8 月 4 日に発生し、従業員の一部がフィッシング攻撃に遭い、だまされて攻撃者にデータとアクセス コードを提供しました。同社は声明の中で、ハッカーが従業員のアカウントを使用してさまざまな社内システムにアクセスし、一部の顧客からデータを盗んだと詳述した。 その中には、Signal があり、 SMS 経由で検証サービスを提供しています。

メッセージング プラットフォーム自体によって確認されたように、攻撃者は、約 2,000 人のユーザーの電話番号とそれに関連付けられたコードを取得したと考えられます。 Signal によれば、「ごくわずかな割合」だが、他のユーザーのアカウントへのアクセスが可能になったため、非常に重大な不便が生じたことを意味している。

「約 1,900 人のユーザーについて、攻撃者は自分の番号を別のデバイスに再登録しようとしたり、自分の番号が Signal に登録されていることを知ることができた可能性があります。」

Signal アカウントにアクセスすると、ハッカーがメッセージを送受信できるようになる可能性があります。ただし、以前の会話にはアクセスできません。プロフィール情報や連絡先も知りません。これらはすべて、アカウント所有者が手動で入力する必要がある PIN コードによって保護されており、Twilio が管理するものではありません。

認証 SMS は良いアイデアではなく、Signal 攻撃がそれを証明しています

SMS 認証はユーザーを認証する簡単な方法であり、アカウントにアクセスするためにパスワードを覚える必要はありません。 Lime、Signal、WhatsApp などのプラットフォームで使用されています。

これは、2 段階認証をサポートするプラットフォームでの追加の保護としても使用されます。このような場合、ユーザーは、ユーザー名とパスワードで自分自身を識別することに加えて、 SMS によって送信される一意の PIN を入力する必要があります。この PIN も使用後に期限切れになります。

ただし、SMS 経由でこれらのコードを送信することは、コードにアクセスするのが比較的簡単であるため、最も理想的とは言えません。特にそれが主な検証方法である場合（つまり、2 段階検証システムの二次的な方法として使用されていない場合）。

Signal の場合、攻撃者は、メッセージング プラットフォームにコード送信サービスを提供する会社に対するフィッシング攻撃を通じて、電話番号とそれに関連するコードを盗むことができました。しかし、従業員の資格情報を盗んで社内プラットフォームにアクセスすることだけが、検証コードを盗む唯一の方法ではありません。たとえば、ハッカーの中には、WhatsApp アカウントにアクセスするために、被害者が知らない間に通話を別の電話番号 (攻撃者の電話番号) に転送するように誘導する人もいます。その後、新しいデバイスにアカウントを登録します。確認コードが SMS 経由で送信されると、電話でそのキーを受け取るように要求されます。

2 段階認証 (2FA) コードでも同様のことが起こります。これらの中には SMS 経由で送信されるものもあり、同じ方法で公開される可能性があります。したがって、最も推奨されるのは、Authy、iCloud、Google Authenticator などのランダム キーを生成するプラットフォームを使用することです。

いずれにせよ、最近の WhatsApp と Signal の両方、および SMS 経由でのコード送信をサポートする他の多くのプラットフォームでも、追加のアクセス手段が可能になっています。その中には個人コードもあります。したがって、登録を完了してアプリを使用するには、テキスト メッセージで受け取ったコードを入力するだけでなく、アクセス コードも入力する必要があります。