Twitter、電話番号なしで2要素認証をようやく有効化可能に

　Twitterは米国時間11月21日、ユーザーがようやく電話番号なしで2要素認証（2FA）を有効にできるようになると発表した。モバイルのワンタイムパスワード（OTP）認証アプリやハードウェアのセキュリティキーなど別の方法のみを使えるようになるという。

提供：Eric Mill

　これまでユーザーがTwitterアカウントで2FAを使いたい場合は、電話番号を登録してSMSベースの2FA設定を有効にする必要があった。

　OTPのモバイル認証アプリやハードウェアのセキュリティキーを使いたいユーザーは、最初にSMSベースの2FAを有効にする必要があり、これを無効にすることはできなかった。

　セキュリティキーを使うことにした場合も、SMSベースの2FA設定は有効で、アカウントはSIMスワップと呼ばれる攻撃のリスクにさらされていた。

　ユーザーのパスワードを手に入れたハッカーは、SIMスワップによってユーザーの電話番号を一時的に奪い取り、SMSベースの2FAをすり抜けて、そのユーザーのアカウントを乗っ取ることが可能になっていた。

　8月には、Twitterの最高経営責任者（CEO）であるJack Dorsey氏のアカウントがハッキングされるという事態も発生している。

　Twitterは21日にこの機能について発表したが、1週間ほどテストが実施されていたようだ。ユーザーが週末に見つけていた。

Twitter now, finally, lets you enable multi-factor authentication without requiring that SMS codes be an option! #victories

If you feel even remotely at risk of account takeover, use an authenticator app and/or a security key, and disable SMS as an account option. pic.twitter.com/ZnR9nCZYJ3

— Eric Mill (@konklone) 2019年11月16日