SMSを使った二要素認証、Googleが廃止へ--なぜ？ 「実は安全ではない」が業界の常識 - CNET Japan

https://japan.cnet.com/article/35229750/

セキュリティ企業ThreatLockerの最高製品責任者 ロブ・アレン氏は、SMSによる二要素認証は「無いよりはあった方が良いが、最も好ましくない方法だ」とし、モバイル端末の認証アプリを使う方がはるかに安全だと強調する。

なんとなくそういう認識を持っていたが、具体的な攻撃方法について分かっていなかったので、少し調べてみた。
大きくは、以下の２つがありそう。

• SIMスワップ攻撃
• SMS傍受

他にもソーシャルエンジニアリングやマルウェアなどもあるが、これらはSMSに限らなそうなので省略。
以下、少し調べてみた結果もメモしておく。

SIMスワップ攻撃

現実世界で、ユーザーになりすましてSIMを不正に取得する攻撃方法。

1. ユーザー（被害者）の個人情報を収集し、本人になりすます方法を確立する
2. 携帯電話会社へ連絡し、本人になりすましてSIMカードを再発行する
3. SMSなどを使った二段階認証を突破する

参考資料

• SIMスワップとは？具体的な手口と講じるべき対策 | サイバーセキュリティ情報局
• スマホを乗っ取る「SIMスワップ詐欺」とは？手口と対策を徹底解説｜HOME ALSOK研究所｜ホームセキュリティのALSOK
• SIMスワップとは？攻撃手口と被害にあわないための対策を具体的に解説｜サイバーセキュリティ.com
• SIMスワップ詐欺 - Wikipedia

SMS傍受

• 悪意のあるアプリに「SMSへのアクセス権限」を付与してしまうと、傍受ができてしまう
• そもそもSMSのネットワーク（SS7）が古く脆弱なので傍受される危険性がある

参考資料

• [SMS認証は危険?] SMSを傍受する「SMSインターセプト」とは何か :: GMOトラスト・ログイン ブログ | シングルサインオン(SSO)や認証に関する話題
• 共通線信号No.7 - Wikipedia
• SS7（共通線信号No.7 / CCSS7）とは - IT用語辞典 e-Words
• SS7とは｜サイバーセキュリティ.com

余談：トラフィック・ポンピング

攻撃ではなく、アクセスチャージという制度を使って、通信事業者から不正に料金を収集する方法。どちらかと言うと、二要素認証としてSMSを使用している事業者側のリスクになる。

• 総務省で見直しが議論されるアクセスチャージ、悪用された「トラフィック・ポンピング」からその課題をひも解く - ケータイ Watch