Twitterが二要素認証の仕様を変更 これって「アリ」か「ナシ」か？：半径300メートルのIT

Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。

[宮田健，ITmedia]

　イーロン・マスク氏率いる「Twitter」の機能追加や変更が連日話題になっていますが、先日気になるアナウンスが発表されました。Twitterにおける「二要素認証」の仕様変更についてです。

　Twitterサポートは「2023年3月20日から『SMS』を利用した二要素認証を有料課金ユーザーである『Twitter Blue』の利用者に限る」とアナウンスしました。無料で利用している大多数のユーザーは“SMSでコードを送信する方式”での二要素認証が使えなくなります。

Twitterによる二要素認証仕様変更のアナウンス（出典：TwitterのWebサイト）

　例によって突然のアナウンスに、日本のTwitter利用者は混乱している様子がうかがえました。個人的にはこの仕様変更は“気持ちは分からないわけではないが……”と複雑な心境ではあります。まずは落ち着いてこの仕様変更を「アリ」な部分と「ナシ」な部分に分けて考えたいと思います。

SMSによる二要素認証の廃止は「アリ」かもしれない

　まずは「アリ」な部分について考えてみましょう。読者の皆さんも二要素認証がセキュリティ強化に有効であることはご存じかと思います。その中でも、SMSを利用した二要素認証は、パスワードというその人しか知らない（はずの）「知識情報」とSMSを受信できるデバイスを持っているという「所持情報」を使っているので、立派な二要素認証と言えるでしょう。ただ、問題はその「所持情報」の使い方です。

　SMSは海外通信キャリアにおいて経路上での盗聴リスクがあるとされています。米国立標準技術研究所（NIST）が公開する「NIST Special Publication 800-63」（電子認証に関するガイドライン）においても、公衆交換電話網を利用するAuthenticator（認証）は「制限」とされています。ちなみに本ガイドラインのドラフト時点でこれは「非推奨」とされており、大きな話題を呼んでいました。

　「国内では関係ない」と考える方もいるかもしれませんが、SMSによる認証を悪用した攻撃手口は日本でも表面化しています。中でも、勝手にMNP（番号ポータビリティ制度）で被害者のスマートフォンを解約して電話番号を奪い、それを基にした認証を実行する「SIMスワップ」という攻撃手法は日本でも確認されています。

　また以前、ユーチューバーが生配信中、配信に利用しているスマートフォンが受けた二要素認証のコードが通知に表示され、第三者に知られてしまうというインシデントも発生しています。少々特殊である上にSMSに限らないのですが、こういった事例も存在するということは覚えておいてよいでしょう。

　しかし、二要素認証自体はアカウントを安全に保つために必須の技術です。そのため、ぜひ継続して二要素認証を使い続けるよう、皆さんにはお願いしたいと思います。

セキュリティを有料ユーザーの付加価値にするのはさすがに「ナシ」

　今回、Twitterはセキュリティ向上のための機能を有料ユーザーの付加価値として見えるようなアナウンスしましたが、これは非常にまずい対応です。「無料であれば危険なままサービスを利用しろ」と印象付けるのは長期的には悪手だと思います。

　さらなる問題は、今回のアナウンスでユーザーが「二要素認証をオフ」にすることにつながりかねないことです。Twitterを無料で使う場合でも、SMS以外の二要素認証は相変わらず利用できます。例えば「Yubikey」といった物理的な「セキュリティキー」を利用する方法やTOTP（Time-based One-time Password）ベースの「認証アプリ」を利用するといった方法があります。

　TOTPベースの認証アプリとしては、Googleの「Google 認証システム」やMicrosoftの「Microsoft Authenticator」が無料で利用可能です。最近では「iOS」の標準機能でもTOTPを利用できますが、少々使い勝手が悪いので上記のような専用アプリや「1Password」といったパスワード管理ツールの利用をお勧めします。

Twitterが無効化するのは上記の「テキストメッセージ」による二要素認証のみで、認証アプリを利用した二要素認証は無料ユーザーでも利用できる（出典：Twitterアプリの設定画面）

　今回の仕様変更は、無料ユーザーも継続して二要素認証を利用可能ですので、Twitterというサービスのセキュリティレベルを下げるわけではありません。筆者は今回の施策について、恐らくSMSの送信コスト削減を狙ったものだとにらんでいますが、それであればTwitter Blueに関してもSMSによる二要素認証を廃止すべきでしょう。その判断ができず、利用者を混乱させるアナウンスをしていることに、個人的には非常に不安を感じます。

このタイミングこそ、パスキー導入の契機だったのに……

　実際、パスワードだけでログインできる方法がユーザーにとっては一番楽でしょう。しかしパスワードを含めた情報漏えいインシデントが毎日のように発生している今、パスワードを定期的に変更し、かつ強力なものを使用していても、不正ログインに遭うリスクは拭えません。その意味で二要素認証は今のインターネットにおいて必要不可欠です。

　特に二要素認証の中でも、パスワードを利用しない「パスキー」の利用は今後拡大することが予想されます。実際に使ってみると手間もかからず、生体認証機能が付いたスマートフォンであれば簡単に利用できます。Twitterも今回の混乱がなければ、きっとこのタイミングで導入していた……と信じたいです。パスキーはデモサイトで実際に触ってみれば、その簡単さが伝わると思います。

　ただしパスキーはまだ実用段階に入ったばかりであり、全てのサービスに展開するにはまだ時間がかかりますし、全ての利用者がきちんと移行できるかが問題でもあります。

　Twitterに限らず、SNSではいまだに公式アカウントや芸能人アカウントなど、重要アカウントが乗っ取られていく事件をよく見ます。恐らく二要素認証を使っておらず、運用担当者のレベルにより非常に弱いパスワードが使われていると推測できます。全ての人が全ての重要なアカウントに対して、しっかり二要素認証を利用していただくようお願いしたいと思います。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。