Twitterが二要素認証の仕様を変更 これって「アリ」か「ナシ」か?:半径300メートルのIT
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。
イーロン・マスク氏率いる「Twitter」の機能追加や変更が連日話題になっていますが、先日気になるアナウンスが発表されました。Twitterにおける「二要素認証」の仕様変更についてです。
Twitterサポートは「2023年3月20日から『SMS』を利用した二要素認証を有料課金ユーザーである『Twitter Blue』の利用者に限る」とアナウンスしました。無料で利用している大多数のユーザーは“SMSでコードを送信する方式”での二要素認証が使えなくなります。
例によって突然のアナウンスに、日本のTwitter利用者は混乱している様子がうかがえました。個人的にはこの仕様変更は“気持ちは分からないわけではないが……”と複雑な心境ではあります。まずは落ち着いてこの仕様変更を「アリ」な部分と「ナシ」な部分に分けて考えたいと思います。
SMSによる二要素認証の廃止は「アリ」かもしれない
まずは「アリ」な部分について考えてみましょう。読者の皆さんも二要素認証がセキュリティ強化に有効であることはご存じかと思います。その中でも、SMSを利用した二要素認証は、パスワードというその人しか知らない(はずの)「知識情報」とSMSを受信できるデバイスを持っているという「所持情報」を使っているので、立派な二要素認証と言えるでしょう。ただ、問題はその「所持情報」の使い方です。
SMSは海外通信キャリアにおいて経路上での盗聴リスクがあるとされています。米国立標準技術研究所(NIST)が公開する「NIST Special Publication 800-63」(電子認証に関するガイドライン)においても、公衆交換電話網を利用するAuthenticator(認証)は「制限」とされています。ちなみに本ガイドラインのドラフト時点でこれは「非推奨」とされており、大きな話題を呼んでいました。
「国内では関係ない」と考える方もいるかもしれませんが、SMSによる認証を悪用した攻撃手口は日本でも表面化しています。中でも、勝手にMNP(番号ポータビリティ制度)で被害者のスマートフォンを解約して電話番号を奪い、それを基にした認証を実行する「SIMスワップ」という攻撃手法は日本でも確認されています。
また以前、ユーチューバーが生配信中、配信に利用しているスマートフォンが受けた二要素認証のコードが通知に表示され、第三者に知られてしまうというインシデントも発生しています。少々特殊である上にSMSに限らないのですが、こういった事例も存在するということは覚えておいてよいでしょう。
しかし、二要素認証自体はアカウントを安全に保つために必須の技術です。そのため、ぜひ継続して二要素認証を使い続けるよう、皆さんにはお願いしたいと思います。
セキュリティを有料ユーザーの付加価値にするのはさすがに「ナシ」
今回、Twitterはセキュリティ向上のための機能を有料ユーザーの付加価値として見えるようなアナウンスしましたが、これは非常にまずい対応です。「無料であれば危険なままサービスを利用しろ」と印象付けるのは長期的には悪手だと思います。
さらなる問題は、今回のアナウンスでユーザーが「二要素認証をオフ」にすることにつながりかねないことです。Twitterを無料で使う場合でも、SMS以外の二要素認証は相変わらず利用できます。例えば「Yubikey」といった物理的な「セキュリティキー」を利用する方法やTOTP(Time-based One-time Password)ベースの「認証アプリ」を利用するといった方法があります。
TOTPベースの認証アプリとしては、Googleの「Google 認証システム」やMicrosoftの「Microsoft Authenticator」が無料で利用可能です。最近では「iOS」の標準機能でもTOTPを利用できますが、少々使い勝手が悪いので上記のような専用アプリや「1Password」といったパスワード管理ツールの利用をお勧めします。
今回の仕様変更は、無料ユーザーも継続して二要素認証を利用可能ですので、Twitterというサービスのセキュリティレベルを下げるわけではありません。筆者は今回の施策について、恐らくSMSの送信コスト削減を狙ったものだとにらんでいますが、それであればTwitter Blueに関してもSMSによる二要素認証を廃止すべきでしょう。その判断ができず、利用者を混乱させるアナウンスをしていることに、個人的には非常に不安を感じます。
このタイミングこそ、パスキー導入の契機だったのに……
実際、パスワードだけでログインできる方法がユーザーにとっては一番楽でしょう。しかしパスワードを含めた情報漏えいインシデントが毎日のように発生している今、パスワードを定期的に変更し、かつ強力なものを使用していても、不正ログインに遭うリスクは拭えません。その意味で二要素認証は今のインターネットにおいて必要不可欠です。
特に二要素認証の中でも、パスワードを利用しない「パスキー」の利用は今後拡大することが予想されます。実際に使ってみると手間もかからず、生体認証機能が付いたスマートフォンであれば簡単に利用できます。Twitterも今回の混乱がなければ、きっとこのタイミングで導入していた……と信じたいです。パスキーはデモサイトで実際に触ってみれば、その簡単さが伝わると思います。
ただしパスキーはまだ実用段階に入ったばかりであり、全てのサービスに展開するにはまだ時間がかかりますし、全ての利用者がきちんと移行できるかが問題でもあります。
Twitterに限らず、SNSではいまだに公式アカウントや芸能人アカウントなど、重要アカウントが乗っ取られていく事件をよく見ます。恐らく二要素認証を使っておらず、運用担当者のレベルにより非常に弱いパスワードが使われていると推測できます。全ての人が全ての重要なアカウントに対して、しっかり二要素認証を利用していただくようお願いしたいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。2要素認証を突破するサイバー攻撃に組織はどのように対応するべきか
組織のセキュリティと同じように、サイバー攻撃も巧妙化しています。2要素認証において、組織に重要な取り組みとマインドセットを解説します。気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
欧米で流行していた「SIMスワップ」というサイバー攻撃手法が日本でも流行の兆しをみせています。そもそもSIMスワップとは何か。なぜこのサイバー攻撃に注意すべきなのかを筆者が解説します。「新しいこと」よりまずは「基本の徹底」だ 2023年のセキュリティ対策を考える
2023年が始まりました。変わらずサイバー攻撃は激化の一途をたどっています。企業としては「新しいセキュリティ対策」や「完璧なセキュリティ対策」といった言葉についつい踊らされてしまいますが、まずは「基本の徹底」から確認しましょう。