「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視:セキュリティニュースアラート
GoogleはSMSを40年前の時代遅れの技術でセキュリティ的に問題があると指摘し、より安全なリッチコミュニケーションサービス(RCS)への移行を提案している。
Googleは2023年9月27日(現地時間)、ショートメッセージサービス(以下、SMS)が現在必要とされているセキュリティやプライバシーを満たせなくなっていると指摘した。
ブログによると同技術は40年前からある技術で、現在のものと比べて時代遅れになっており、特にセキュリティについて問題を抱えているという。
SMSのセキュリティリスクとは?
Googleはドイツの専門機関DEKRAが最近発表したホワイトペーパー「CYBERSECURITY - SMS DOESN´T STAND FOR SECURE MESSAGING SERVICE: SMS(IN)SECURITY REVISITED」を引き合いに出し、SMSには以下のような問題があると指摘している。
- SMS傍受: サイバー攻撃者は携帯通信会社のネットワークの脆弱(ぜいじゃく)性を悪用してSMSのメッセージを傍受できる可能性がある。SMSには暗号化がないため、二要素認証コードやパスワード、クレジットカード番号といった機密情報を含んだSMSのメッセージが盗み見られる可能性がある
- SMSスプーフィング: サイバー攻撃者はSMSをスプーフィングしてフィッシング攻撃を開始して正当な送信者からのものであるかのように見せかけられる。通信事業者ネットワークは長年にわたってSMSのテキストを独自に展開してきたため、通信事業者間で不正メッセージの特定に役立つレピュテーションシグナルの交換などを実施することができず、悪意あるメッセージの特定が困難になっている
サイバー攻撃に対する防御機能の一つに多要素認証(MFA)がある。ここ最近、MFAにおいてSMSを使わないことを推奨するプラクティスが増えている。SMSは便利なサービスだが悪用されやすい機能と考えられるようになっている。すでに多くのサイバー攻撃者がSMSの悪用に取り組んでいる。
GoogleはSMSからより安全な仕組みに移行するべき時期が来ていると指摘。すでにリッチコミュニケーションサービス(RCS)といった新しいプロトコルに対応しており、ユーザーのセキュリティを大幅に向上させられると説明している。
同社はAppleがメッセージングサービスにおいてRCSに対応していないために、「Android」とAppleとのやりとりではこれまで通りSMSを使うことになると指摘し、暗にAppleがRCSをサポートしていないことを非難している。
関連記事
- 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。 - パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。 - なぜ被害が減らない? ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。 - スマホ買い替えシーズン到来 筆者がオススメする「絶対あった方がいい機能」
新型iPhoneをはじめスマートフォンの新製品が発表される時期が間もなく訪れます。今回は筆者が、スマートフォンに必須だと思う機能を紹介します。買い替えを検討している方は参考にしてください。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.