多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出：セキュリティニュースアラート

Twilioは多要素認証アプリ「Authy」の最新アップデートをリリースし、Android版およびiOS版のセキュリティ修正を実施した。同対応は2024年6月下旬に発生したAuthyの脆弱性を原因とした電話番号流出に対処したものだ。

[後藤大地，有限会社オングス]

　Twilioは2024年7月1日（現地時間）、多要素認証（MFA）アプリの「Authy」の最新アップデートをリリースした。アップデートはAuthyの「Android」版および「iOS」版に対する修正が含まれている。

　今回のアップデートは2024年6月下旬に発生したAuthyの脆弱（ぜいじゃく）性による3300万件以上の電話番号流出インシデントに対処したものとされている。漏えいした情報によって、SMSフィッシングやSIMスワッピング攻撃を実行される可能性があるため注意が必要だ。

3300万件以上電話番号流出を引き起こした脆弱性に対処

　Twilioはコンピュータ情報サイト「Bleeping Computer」の取材に対し、認証されていないエンドポイントが原因で、Authyアカウントに関連付けられた個人データを攻撃者に特定されたと報告しており、直ちに対応を実施し、エンドポイントを保護する措置を講じたことを伝えている。

　脆弱性に対応したバージョンは以下の通りだ。

• Android版：　Authy v25.1.0
• iOS版：　Authy v26.1.0

　Twilioの発表では現時点で脅威アクターがTwilioのシステムやその他の機密データにアクセスした証拠は確認されていないとしている。予防措置として全てのAuthyユーザーに対して最新のAndroidまたはiOSアプリに更新することが強く推奨されている。Authyアカウントにアクセスできない場合、Authyサポートに問い合わせることが勧められている。

　脅威アクターが取得したとみられるAuthyユーザーの電話番号がフィッシングやスミッシング攻撃に利用される可能性があることも伝えており、受信するテキストメッセージに対して高い警戒心を持つよう注意を呼びかけている。