「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視：セキュリティニュースアラート

GoogleはSMSを40年前の時代遅れの技術でセキュリティ的に問題があると指摘し、より安全なリッチコミュニケーションサービス（RCS）への移行を提案している。

[後藤大地，有限会社オングス]

　Googleは2023年9月27日（現地時間）、ショートメッセージサービス（以下、SMS）が現在必要とされているセキュリティやプライバシーを満たせなくなっていると指摘した。

　ブログによると同技術は40年前からある技術で、現在のものと比べて時代遅れになっており、特にセキュリティについて問題を抱えているという。

GoogleはSMSのセキュリティやプライバシーの問題点を指摘した（出典：GoogleのWebサイト）

SMSのセキュリティリスクとは？

　Googleはドイツの専門機関DEKRAが最近発表したホワイトペーパー「CYBERSECURITY - SMS DOESN´T STAND FOR SECURE MESSAGING SERVICE: SMS（IN）SECURITY REVISITED」を引き合いに出し、SMSには以下のような問題があると指摘している。

• SMS傍受：　サイバー攻撃者は携帯通信会社のネットワークの脆弱（ぜいじゃく）性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある
• SMSスプーフィング：　サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている

　サイバー攻撃に対する防御機能の一つに多要素認証（MFA）がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMSは便利なサービスだが悪用されやすい機能と考えられるようになっている。すでに多くのサイバー攻撃者がSMSの悪用に取り組んでいる。

　GoogleはSMSからより安全な仕組みに移行するべき時期が来ていると指摘。すでにリッチコミュニケーションサービス（RCS）といった新しいプロトコルに対応しており、ユーザーのセキュリティを大幅に向上させられると説明している。

　同社はAppleがメッセージングサービスにおいてRCSに対応していないために、「Android」とAppleとのやりとりではこれまで通りSMSを使うことになると指摘し、暗にAppleがRCSをサポートしていないことを非難している。