SMS ベースの二要素認証システムの脆弱性を明らかにする重大なセキュリティインシデントが発生し、2023年6月に100万件以上の認証コードが物議を醸している スイス の通信会社からアクセス可能な状態となった。この流出は SMS セキュリティインフラの根本的な弱点を浮き彫りにし、世界中の数百万人のユーザーが使用するテキストベースの認証方法の安全性について深刻な疑問を投げかけている。
 |
|---|
| SMS ベースの二要素認証システムの脆弱性は、デジタルコミュニケーションにおけるセキュリティの緊急な必要性を浮き彫りにしている |
流出の規模
業界の内部告発者からのデータに基づく Bloomberg と Lighthouse Reports の調査報道により、200万件以上の二要素認証コードを含む SMS メッセージが Fink Telecom Services のネットワークを通過していたことが明らかになった。これらのメッセージは Google 、 Meta 、 Amazon 、 Signal 、 WhatsApp などの主要テクノロジー企業、さらに Tinder や Snapchat などの人気アプリケーション、暗号通貨取引所の Binance 、複数の ヨーロッパ の銀行から発信されていた。これらのコードは100カ国以上のユーザー宛てであり、このセキュリティ脆弱性のグローバルな規模を示している。
影響を受けた企業とサービス:
- テクノロジー大手: Google 、 Meta 、 Amazon
- ソーシャルメディア/出会い系アプリ: Tinder 、 Snapchat
- メッセージングアプリ: Signal 、 WhatsApp
- 暗号通貨: Binance 取引所
- 金融サービス: 複数の欧州銀行
- 地理的範囲: 100カ国以上のユーザー
物議を醸す仲介業者
Fink Telecom Services は SMS 配信チェーンの仲介業者として運営されているが、この会社には今回の流出を特に懸念すべきものにする重大な問題がある。この スイス の企業とその創設者は政府監視機関との関係が文書化されており、サイバーセキュリティ研究者からは個人のオンラインアカウントへの侵入に関与していると非難されている。この背景により、単なる技術的な見落としであったかもしれないものが、影響を受けたユーザーにとって潜在的な国家安全保障とプライバシーの悪夢に変わっている。
SMS ルーティングが脆弱性を生み出す仕組み
この流出は、多くの企業がコスト削減と国際業務の簡素化のために SMS 配信を外部委託することで発生した。これらの仲介業者は、異なる国のキャリア間での通信を可能にするネットワークアドレスであるグローバルタイトルへのアクセスを得て、メッセージが受信者の母国から発信されているかのように見せかけることができる。 Fink Telecom は ナミビア 、 チェチェン 、 イギリス 、 スイス からのグローバルタイトルを利用してこの国際メッセージルーティングを促進していた。
Fink Telecom のグローバルタイトル所在地:
- Switzerland (本国)
- United Kingdom
- Namibia
- Chechnya
- 国際SMS配信経路の最適化と配信コスト削減のために使用
業界の対応と否認
データ流出について問い詰められた際、 Fink Telecom の CEO である Andreas Fink は、同社は送信されるトラフィックを分析したり干渉したりすることなく、インフラサービスのみを提供していると主張した。複数の大手企業は Fink Telecom から距離を置くことで対応し、 Google 、 Meta 、 Signal 、 Binance は スイス の企業と直接取引していないと述べた。 Google は SMS 認証から完全に移行すると発表し、 Meta は reportedly パートナーに Fink Telecom との関与を避けるよう指示したと報告されている。
規制措置と業界の懸念
このインシデントは規制当局の対応を促し、 イギリス の Ofcom は2024年4月に携帯電話ユーザーへの脅威を理由に、 イギリス のキャリアに対するグローバルタイトルリースを禁止した。この規制措置は現在の SMS ルーティングインフラに内在するセキュリティリスクを認識し、政府当局がこれらの脆弱性を真剣に受け止めていることを示唆している。
SMS 認証に代わる安全な選択肢
セキュリティ専門家は長い間、より安全な方法を支持して SMS ベースの二要素認証を放棄することを提唱してきた。物理的なセキュリティキーや Microsoft Authenticator や Google Authenticator などの認証アプリケーションは、ユーザーデバイス上で直接時間ベースのコードを生成し、暗号化されていない SMS 送信の必要性を排除する。これらの方法は30秒ごとにコードを更新し、潜在的に侵害された通信インフラに依存しない。
セキュアな2FA代替手段の比較:
| 方法 | セキュリティレベル | 利便性 | 傍受に対する脆弱性 |
|---|---|---|---|
| SMS コード | 低 | 高 | 高 - 暗号化なし、第三者経由のルーティング |
| 認証アプリ | 高 | 中 | 低 - ローカル生成、30秒更新 |
| 物理セキュリティキー | 非常に高 | 中 | 非常に低 - ハードウェアベース、送信なし |
| 生体認証/ Passkeys | 非常に高 | 高 | 非常に低 - デバイス保存、 WebAuthn 標準 |
今後の道筋
この流出は、 SMS ベースの認証の根本的な不安全性について、企業とユーザーの両方にとっての警鐘として機能している。 SMS は便利で広くサポートされているが、暗号化の欠如とサードパーティの仲介業者への依存により、複数の障害点が生まれる。このインシデントは、組織がより堅牢な認証方法を実装し、ユーザーが利用可能な場合により強力なセキュリティオプションを積極的に選択する緊急の必要性を強調している。