SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識 - CNET Japan

2025-02-26

https://japan.cnet.com/article/35229750/

セキュリティ企業ThreatLockerの最高製品責任者 ロブ・アレン氏は、SMSによる二要素認証は「無いよりはあった方が良いが、最も好ましくない方法だ」とし、モバイル端末の認証アプリを使う方がはるかに安全だと強調する。

なんとなくそういう認識を持っていたが、具体的な攻撃方法について分かっていなかったので、少し調べてみた。
大きくは、以下の2つがありそう。

他にもソーシャルエンジニアリングやマルウェアなどもあるが、これらはSMSに限らなそうなので省略。
以下、少し調べてみた結果もメモしておく。

SIMスワップ攻撃

現実世界で、ユーザーになりすましてSIMを不正に取得する攻撃方法。

  1. ユーザー(被害者)の個人情報を収集し、本人になりすます方法を確立する
  2. 携帯電話会社へ連絡し、本人になりすましてSIMカードを再発行する
  3. SMSなどを使った二段階認証を突破する

参考資料

SMS傍受

参考資料

余談:トラフィック・ポンピング

攻撃ではなく、アクセスチャージという制度を使って、通信事業者から不正に料金を収集する方法。どちらかと言うと、二要素認証としてSMSを使用している事業者側のリスクになる。