｢SMS認証、破られるリスク｣　米政府機関が注意喚起

米国のサイバーセキュリティーを担当する政府機関は10日までに、ショートメッセージサービス（SMS）を使った認証について「外部から傍受される恐れがあり、強力な認証にならない」と注意喚起する声明を公表した。認証アプリなどの利用を推奨している。X（旧ツイッター）や日本のデジタル庁もSMS認証を廃止しており、見直しの動きが広がる可能性がある。

声明は米国土安全保障省傘下のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁（CISA）が2024年12月に出した。中国と関係するハッカー集団による通信事業者へのハッキング活動について、推奨する対策を示した。

CISAは「SMSは暗号化されていないため、通信事業者のネットワークにアクセスできる攻撃者により傍受され、メッセージを読み取られることがある」と指摘する。SMS認証を使うユーザーに対し、米グーグルや米マイクロソフトなどの認証アプリに変えるよう求めた。

安全な通信手段として、米アップルの対話アプリ「iMessage（アイメッセージ）」といった「E2EE（エンドツーエンド暗号化）」と呼ばれる秘匿性の高いサービスを提示した。偽メールやSMSで認証情報を盗み取るフィッシング攻撃を防ぐため、テック大手が推進する生体認証などの「FIDO（ファイド）」を使うよう推奨している。

声明ではアイフォーン利用者への推奨事項として、アイメッセージが使えない場合にSMSでメッセージを送信する設定を「無効化」するよう促すなど、SMSのリスクを強調している。

SMS認証を巡っては、フィッシングによる「スミッシング」が20年ごろから増えている。契約者になりすまして再発行したSIMカードを使ってスマホを乗っ取る「SIMスワップ」という手口も横行しており、国内でも23年に愛知県警や警視庁が容疑者を摘発している。

18年にはオンライン掲示板を運営する米レディットがSMS経由での不正アクセスを受け、利用者の情報が漏洩している。

Xは23年、安全上の理由などから無料ユーザーのSMS認証を廃止した。デジタル庁も、同庁が提供している法人・個人事業主向け共通認証システム「GビズID」のSMS認証について「セキュリティー上の観点から25年3月をメドに廃止予定」としている。

CISAの声明はスパイ活動の標的となる特定の利用者向けだが、SMSを認証に使うインターネットバンキングや電子商取引（EC）サイトは国内外で多く、各社の今後の対策に影響する可能性がある。

（岩沢明信）