2025-02-26
https://japan.cnet.com/article/35229750/
セキュリティ企業ThreatLockerの最高製品責任者 ロブ・アレン氏は、SMSによる二要素認証は「無いよりはあった方が良いが、最も好ましくない方法だ」とし、モバイル端末の認証アプリを使う方がはるかに安全だと強調する。
なんとなくそういう認識を持っていたが、具体的な攻撃方法について分かっていなかったので、少し調べてみた。
大きくは、以下の2つがありそう。
他にもソーシャルエンジニアリングやマルウェアなどもあるが、これらはSMSに限らなそうなので省略。
以下、少し調べてみた結果もメモしておく。
現実世界で、ユーザーになりすましてSIMを不正に取得する攻撃方法。
攻撃ではなく、アクセスチャージという制度を使って、通信事業者から不正に料金を収集する方法。どちらかと言うと、二要素認証としてSMSを使用している事業者側のリスクになる。