Google、SMS ベース認証からよりセキュアな 2 段階/2 要素認証への移行をユーザーに促す

2017.08.01

Google が自社ユーザーに向けて、2 段階認証 (2SV) と 2 要素認証 (2FA) への移行を促すキャンペーンを引き続き展開しています。今週からは、SMS コードを使用して Google のサービスにログインするすべてのユーザーに対して、「Google からのメッセージ (Google prompt)」から通知が送信されます。


ユーザーがログインを開始すると、Android デバイス (iOS ユーザーの場合は Google 検索アプリのインストールが必要です) の画面に、ログインの本人確認、デバイスに関する情報、ブラウザの種類、ISP ロケーションが表示されます。ユーザーが本人確認をすると、画面はクリアされます。


「Google からのメッセージ」は、SMS 経由でコードを受信する方法に代わるより安全な手段として、同社が 2016 年 6 月に開始(リンク先:英語)した認証オプションです。以下に説明するように、Authenticator アプリを使用してコードを生成するよりも簡単だと感じるユーザーもいるようです。


Naked Security はすでに SMS テキスト認証と Authenticator アプリによる認証の長所短所を比較(リンク先:英語)した記事を掲載しているので、その点については掘り下げません。問題は、この 2 つのオプションにおける「Google からのメッセージ」の有効性です。


「Google からのメッセージ」は、SMS コードの安全性低下の問題を克服することが主な目的です。SMS コードは、中間者攻撃で悪意のあるアプリに奪われる可能性があります。また、SIM スワップ詐欺が増加(リンク先:英語)していることでも懸念が広がっています。


SMS コードは何もしないよりはましですが、かつてほど安全であるとは考えられていません。SMS の問題については昨年夏に米国立標準技術研究所 (NIST) も確認しており(リンク先:英語)、NIST は米国政府機関に対して SMS コードに依存しないよう勧告しています。


SMS の弱点は、Google の管理下にないチャンネルをデータが行き来することにあります。「Google からのメッセージ」を使用した場合には、データは暗号化されたチャネルを使用して送受信されます。スマートフォンがデータ接続の範囲内にある限り、誰かが自分の Google アカウントにログインしようとするたびに、リアルタイムで警告が表示されます。


もう 1 つの利点は、SMS コードを入力するよりも (Google Authenticator の場合は 6 桁のコードを入力するよりも)、[はい] を押すほうが簡単である点です。ただし、Authenticator は設定後にデータを安全ではない方法で送受信する必要がないため、Google 以外のサードパーティのサイトに 2 段階認証を使用してログインする人には適しています。


SMS コードの使用をどうしても続けたいユーザーが、直ちに「Google からのメッセージ」の使用を強制されることはありません。しかし、少なくとも Google においては SMS コードの終焉が近づいていることは間違いありません。


長期的に見て、認証の習慣を変えるうえで最大のハードルとなるのはユーザーが感じる戸惑いです。パスワードの欠点は今では人々に理解されているとはいえ、Google が現在 5 つの認証オプション (YubiKey や使い捨ての「緊急」コードなどのハードウェアトークンを含む) を提供しているという事実に、ユーザーが混乱してしまう可能性があります。


Facebook でも、プロフィール写真を使用してログインしたり、アカウントにアクセスするのに信頼できるユーザーを指名したりするなどのオプションが追加されているために、分かりにくくなっています。


現時点では、多くのユーザーが複数のサービスでアカウントを所有し、各サービスには独自のオプションが用意されています。パスワードが使用されなくなり、シームレスな認証セキュリティが普及した世界が実現するのは、まだまだ先のことのようです。


引用元

おすすめの記事はこちら