2023年2月15日、Twitterがショートメッセージサービス(SMS)を用いた2要素認証をサブスクリプションの「Twitter Blue」加入者限定のサービスへと変更する方針を示しました。この仕様変更の理由について、2要素認証に絡めた悪質なSMS詐欺が流行してTwitterの負担となっていることが背景にあるとイーロン・マスクCEOが示唆していましたが、一体このSMS詐欺とは何なのか、どのような仕組みで行われるのかということについて、テクノロジー系ライターのアプルヴァ・チトニス氏が解説しました。
How SMS Fraud Works and How to Guard Against It
https://apuchitnis.substack.com/p/how-sms-fraud-works-and-how-to-guard-against-it
2要素認証は、アカウントへのログイン時にパスワードに加えてSMSで配信したコードやワンタイムパスワードなどを要求するという認証方法です。単にパスワードのみを要求するよりも安全性が高いため、2要素認証はTwitterのみならず多数のインターネットサービスで用いられています。TwitterがTwitter Blueの契約者のみ利用可能としたのはSMSを用いた2要素認証で、その他のアカウントでは認証アプリまたは物理キーを利用した2要素認証を引き続き利用することができます。
チトニス氏によると、SMSを用いた2要素認証の詐欺には「プレミアム価格が付随した電話番号」が用いられる場合があるとのこと。これは、通話の際に発信者へ割増料金を請求する電話番号で、サポートチャットやアダルトチャットによく使われる番号です。発信者が余分に払ったお金は、通信事業者だけでなく、サポートチャットやアダルトチャットを運営する事業者にも支払われます。
悪徳な業者は、この電話番号を自分の番号に設定したうえで、SMSを送信するネットサービスを見つけます。ここで、2要素認証にSMSを使うTwitterなどがターゲットとして選ばれます。
業者がユーザーを装って2要素認証を行うと、ネットサービスはSMSを送信します。割り増しされたSMSの送信料金はネットサービスに請求され、そのお金は業者に支払われます。この仕組みを利用して、業者はボットアカウントを作成して大量にSMSを要求し、SMSの送信料をネットサービスからかすめ取るのです。
チトニス氏はSMS詐欺を防ぐための方法もいくつか紹介しています。例えば、Auth0のようなサードパーティーのサービスを使って2要素認証をする場合、SMSの送信に利用されるエンドポイントを難読化することができます。この方法では攻撃を完全に防ぐことはできませんが、攻撃を難しくすることができます。
また、不正なIPからのリクエストをすべてブロックすることも有効です。IPアドレスの品質を評価できるサービスが多数存在するため、「これはかなり簡単に実装できるはず」とチトニス氏。Twitterが採用した、有料アカウントにのみSMSを送信するという手も効果的です。
チトニス氏は「自転車泥棒が盗みやすい自転車を狙うように、優れたハッカーはハッキングしやすいネットサービスを利用します。攻撃者がより簡単なターゲットに移るまで、いくつかの対処法を十分に活用し、時間と有効性を加味して優先順位をつけていくことが大切です」とアドバイスしました。
この記事のタイトルとURLをコピーする
