私は長年、オンラインアカウントでは可能な限り2要素認証(2FA)または2段階認証(2SV)の使用を推奨してきました(違いについて詳しくは、2023年7月10日の「2要素認証、2段階認証、そして1Password」をご覧ください)。どちらもセキュリティ面で大きなメリットがあります。なぜなら、パスワードを入力した後、ログインを完了するには認証コードを入力する必要があるからです。
1Password では認証トークンをできるだけ多く標準化しました。自動入力してくれるからです(2023年3月3日の記事「LastPass、データ漏洩に関する詳細情報を公開」参照)。しかし、多くのオンラインサービスは、認証アプリの方がSMSよりも安全であるにもかかわらず、使いやすさからSMSテキストメッセージに依存し続けています。サイトがSMSに依存しているからといって、2要素認証の有効化をためらわないでください。SMS経由の2要素認証は、2要素認証を使用しない場合よりもはるかに安全です。
SMSで最もよくある問題は、SIMスワッピングと呼ばれる攻撃です。攻撃者は被害者を装い、通信事業者に電話番号を新しいデバイスに移行させ、事実上被害者の通信を乗っ取ります。この攻撃では、被害者のユーザー名と電話番号に加え、社会保障番号の下4桁などの追加の身元情報が必要となります。残念ながら、このような情報は企業のデータ侵害で頻繁に発生しており、最近ではチケットマスターによる5億6000万人のユーザーの個人情報と金融情報の漏洩事件が起こりました。
もっとよくあるケースとしては、自分が要求していない2FAコードが記載されたSMSテキストメッセージを受け取ることがあります。今年の初めにこの件で少し不安になったことがあり、友人も最近受け取った2FAコードについて尋ねてきました。
迷惑な2FAコードを受け取ったらどうすればいいでしょうか?順番は次のとおりです。
- 慌てないでください。このコードを受け取ったということは、誰かがあなたのアカウントにアクセスしようとしていて、パスワードを入手しているものの、追加の認証手順によってアカウントの侵害を防いだということを意味します。
- 認証コードは絶対に他人に教えないでください!ハッカーはあなたのアカウントにアクセスしようとし、2段階認証でブロックされた後、偽の認証コードを要求するメールやテキストメッセージ、さらには電話をかけてくる可能性があります。認証コードの有効期限は短いため、このような連絡は通常すぐに行われます。多くの企業は、認証コードに共有しないよう注意喚起を記載しています。
- メッセージ内のリンクをクリックせずにパスワードを変更してください。アカウントのウェブサイトに手動でアクセスし、サインインしてパスワードを変更してください。新しいパスワードは強力で、重複していないことを確認し、パスワードマネージャーに保存してください。問題のアカウントが、以前はよく行われていたように、他のアカウントでも同じパスワードを使用している場合は、それらのアカウントのパスワードも変更してください。
SMSで一方的な2FAコードを受け取った場合、それは何を意味するのでしょうか?主な可能性は次のとおりです。
- 認証情報の盗難:最も一般的かつ最悪のシナリオは、おそらくデータ侵害によってメールアドレスとパスワードが盗まれ、攻撃者が侵入を試みるというものです。Have I Been Pwnedサイトは、自分がこれまでにどれだけの侵害に巻き込まれたかを確認するのに便利ですが、1PasswordのWatchtowerのような機能は、パスワードを変更する必要がある特定のサイトを特定するのに便利です。他のパスワードマネージャーにも同様の機能があります。侵害されたサイトでは、必ずパスワードを変更してください。
- 個人情報窃盗:ここに書かれている手順をすべて理解するのは困難です(私はサイバー犯罪者ではありません!)。しかし、迷惑な2FAコードを受け取ることにつながる可能性のある、個人情報窃盗攻撃の手口があるように思います。攻撃者があなたのメールアドレスを侵害し、あなたになりすまして新しいアカウントを作成しようとしたが、あなたの携帯電話に送信された2FAコードを入力せずには手続きを完了できない、といった状況は想像に難くありません。突飛な話だとは思いますが、高度な攻撃は往々にしてそう聞こえます。迷惑な2FAコードを受け取ったからといって、メールアカウントのパスワードを勝手に変更するのはお勧めしませんが、ハッキングされたことを示すさらなる兆候に注意を払うための警告だと捉えてください。
- 偶発的またはランダムなトリガー:共通のメールアドレスや電話番号をお持ちの場合、誰かがアカウント作成時に誤って自分のメールアドレスや電話番号ではなく、あなたのアドレスや電話番号を入力してしまう可能性があります。[email protected] と入力する代わりに [email protected] と入力したり、ニューヨーク州北部の市外局番 607 をボストンの市外局番 617 と間違えたりすることはよくあります(ボストン近郊で育ったコーネル大学の友人が、当時コーネル大学と同じ交換機を使用していた MIT に電話をかけようとした人物から間違い電話を受けた経緯を説明できたことがあります)。問題のサイトにアカウントがなく、認証コードが1つしか表示されない場合は、おそらく無視して構いません。しかし、繰り返しになりますが、他の問題にも注意が必要です。
- 不具合: 2FA コードが誤って送信された原因が人為的なものかコンピューターのエラーかを知る方法はありませんが、このようなことは起こります。
理由に関わらず、アカウントを持っているサイトから2FAコードを受け取った場合は、すぐにパスワードを変更してください。パスワードマネージャーを使っている場合は特に簡単ですし、安心感も得られるので、その手間をかける価値は十分にあります。