「SMSを使った二段階認証」が安全でないとグーグルが認め、今後はパスキーやQRコード認証になる模様 [535112527]

SMSを使った二要素認証、Googleが廃止へ--なぜ？ 「実は安全ではない」が業界の常識

2/25(火) 10:59配信
CNET Japan

https://news.yahoo.c...893efa8a60a73e96ab1f


　Gmailの二要素認証がまもなく大きく変わる。GoogleはSMSで認証コードを送付する方式を廃止し、パスキーやQRコードに切り替える方針だ。

　このニュースはForbesが最初に報じた。

　SMSによる二要素認証は悪用されるケースが報告されている。Google セキュリティ・プライバシー広報担当のロス・リッチェンドルファー氏はCNETの取材に対し、「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた。

　Googleは今後数カ月以内に電話番号認証の方法を一新する予定だ。Gmailやその他のGoogleサービスは、SMSで6桁のコードを送る方式から、ユーザーが手元の端末でスキャンできるQRコードを表示する方式に変わる。

　この変更は、ユーザーが詐欺師にSMSコードを教えてしまうリスクをなくし、通信事業者が侵入経路となる可能性を排除するためだ。また、Googleによれば、一部の犯罪者は「トラフィックポンピング」と呼ばれる手法でSMSを悪用し、送信数に応じた報酬を得ているという。

　リッチェンドルファー氏は、QRコードの導入によりフィッシングのリスクが軽減され、世界中でのSMS乱用が抑えられ、ユーザーが通信事業者に依存しなくなると述べた。また、「SMSコードはユーザーにとってリスクとなる。攻撃対象を減らし、悪意ある行為から守る革新的な手法を導入できることを嬉しく思う」とも語った。

　なお、Gmailはログイン確認のためにGmailアプリを利用する方法や、Google Authenticatorといった独自のセキュリティツールも採用している。

●SMSは「ないよりはあった方が良いが、最も好ましくない二要素認証」

　SMS認証からの脱却はGoogleだけの動きではない。Evernoteは2024年にSMS認証を廃止し、メッセージングアプリのSignalも2022年に同様の措置をとった。X、Apple、MicrosoftもユーザーをSMSから移行させている。実は、Googleは2017年頃からSMS依存からの脱却を示唆していた。

　専門家は、この流れが予想内であり、Googleにとって必要な措置だと評価している。McAfeeのエイミー・バン氏は、「GoogleがSMSベースのログインから脱却するのは、セキュリティ向上のための賢明な決断だ。最初は不便に感じるかもしれないが、より強固な保護のためには必要なステップだ」と語った。

　バン氏はさらに、「サイバー犯罪者はSIMスワッピングで電話番号を乗っ取り、セキュリティコードを傍受し、場合によってはアカウントから締め出すことも可能だ」と指摘する。だからこそ、Googleを含む多くの企業がパスキーや認証アプリといった、より安全なログイン手法に移行している。

　セキュリティ企業ThreatLockerの最高製品責任者 ロブ・アレン氏は、SMSによる二要素認証は「無いよりはあった方が良いが、最も好ましくない方法だ」とし、モバイル端末の認証アプリを使う方がはるかに安全だと強調する。「企業がより安全な環境に向かって進むのを見るのは心強い」と彼は締めくくった。

この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。

だから最近パスキーやQRコード使わせるサイト増えてたんやね・・・

シベリアンパスキー

>>4

SMSでのコードは想像以上にバカが多くて機能しなかったみたいだな

QRは時代遅れおじさん憤死

短文パスだけでええやん怠い

>>4
wwww

なんでGoogleは自社の認証アプリ使ってログインするようにしないの

SIMスワップでやられるからな

最近のPCにはHelloとかの生体認証がついてるしそっちつかえってことだろう

認証増えすぎぃ

実はじゃねーよもう常識だろ

アマゾンはSMS自体信用できないから
Googleのトークンにした

Google Authenticatorはあかんのか？

ユーザーが詐欺師にＳＭＳコードを教えてしまうリスクをなくし、

自己責任でいいだろ？こんなん

>>10
してる

パスキーならアカウント作成と同時に作ればほぼ確実にそのアカウント作成者本人によるものといえると言えるかもしれないが

ＳＭＳは金かかるからやりたくないだけでは？

>>16
あれダルいからな

全部オーセンティケータすれば良いのに

>>16
それで十分
QRコードとかはアプリ入れたくない奴のための一時的な手段

嫌儲おじさん「パスキーって何・・・？」

詐欺広告をなんとかしろよ
(´・ω・｀)

オーソでいいよもうこれからはそうしろ

楽天

生体認証でええのんちゃうの

>>16
SMSよりいいけどパスキーの方が安全だし別途アプリがいらんのもいい

PCに生体認証つければええやろなんでつけんのや

えまって！
めんどくさい！

フィッシングサイトでIDパスを入力
↓
裏で正規サイトにアクセスして認証コード発行
↓
正規サイトから認証コードが届いて安心してフィッシングサイトに認証コードを入力


SMS認証なんてほぼ意味ないんだわ

事業者側としてgoogle auth使うと利用料取られるの？

ワイはハードウェアキーにしてるわ
結局お家の鍵と一緒

そういえばLINEのアカウントで別のサービスログインするときQRコード読みこんだ気がするな
あれがデフォになるようになるって事か

偽QRのほうが危険だけどな

パスキーがよくわかんない
デバイス無くしたら同じことなんじゃないの？

スマホリセットした時に2段階認証アプリの登録情報がきえて大変な事になった
SNSとかはパソコン側でログインしてたからどうにかなったけど
SMSが安全かはともかく安心ではあるよ

>>38
グーグル認証とかスマホ変えてもそのまま使えるんじゃねえのけ？

最近アップデートでクラウド同期できるようになったらしい
あと予備の10個の使い捨てコードもある。記録必要

文化放送JOQR

意味のないSMSだよ

>>39
スマホ変える前に移行用のコード発行しとく必要がある

アプリ使うのはダメだな
アンドロイド更新できなくなって困りそう
スマホ高いし

>>37
パスキーは種類によるけどgoogleとかのはクラウドに保存されてるから新しい端末でも使える

古いスマホとかSIMなしWi-Fiで使ってない

スマホないとネットできなくなる？

オーセンティケータよりもパスキーの方がええの？
逆かと思ってたわ

>>43
アカウント山程あるんだけど

電話で「今からSMS届きますので番号を読み上げてくださいね」
と言えばジジババの8割は騙される

要するにその端末でしか出来ないことじゃないとダメってことでしょ

パスキーはDアカウントのせいで厄介なものという印象しかない

AuthenticatorってGoogleやマイクロソフトのどれか一つ持ってればいいんだっけ？

むかしGoogle認証用に物理セキュリティーキー買ったけど、マイクロソフトのアカウントだとなぜか使えなくて不便に感じた

>>43
無いよ

ユーザーに回線コスト押し付けといてこれは笑う