InstagramがSMSを使わない二要素認証を導入、SIMを悪用するハッカーを撃退

ハッカーは被害者の電話番号を別のSIMカードに割り当て、それを使ってパスワードを変え、Instagramなどのアカウント情報を盗み、それらをBitcoinで売る。今日(米国時間7/17)のMotherboard誌のおそろしい記事によると、とくにInstagramのアカウントには、SMSを使う二要素認証しかなく、しかもユーザーはテキストメッセージでパスワードやログインコードを変えたりするので、きわめて危険である。

しかしInstagramによると同社は今、SMSを使わない二要素認証を構築中だ。それはGoogle AuthenticatorやDuoなどのセキュリティアプリを利用し、ログインに必要な特殊なコードを生成するが、それは、電話番号がハッカーのSIMカードに移されていたら生成されない。

InstagramのAndroidアプリのAPKの中にはすでに、近くアップグレードされる二要素認証(2 factor authentification, 2FA)のコードが含まれている、と本誌の常連たれこみ屋Jane Manchun Wongが言っている。これまでも本誌TechCrunchは彼女のおかげで、Instagram Video CallingUsage Insightssoundtracks for Storiesなどのスクープをものにできた。

そのスクリーンショットをInstagramのスポークスパーソンに見せたら、同社がSMSを使わない2FAに取り組んでいることを認めてこう言った: “Instagramのアカウントのセキュリティを改良する努力は継続的に行っており、二要素認証の強化もその一環だ”。

Instagramは、ユーザー数が4億に達した2016年にもまだ2FAをやっていなかった。2015年の11月にぼくは、Seriously. Instagram needs two-factor authenticationという記事を書いた。ぼくの友だちでInstagramのストップモーションアニメのスター的な作者Rachel Ryleがハックされ、収入源でもあるスポンサーを失った。Instagramはその話を聞いて、三か月後にSMSを使うもっともベーシックな2FAを開始した

でもその後、SIMの悪用が、ますます多くなってきた。ハッカーがよく使う手は、モバイルのキャリアに電話をしてユーザーになりすましたり、社員を騙したりしてユーザーの番号を自分のSIMカードに移す。そして彼らは、Motherboardが報じているように、ユーザーの人に見せたくない写真や、暗号通貨の空のウォレットなどを盗み、また@tとか@Rainbowのような人気のソーシャルメディアハンドルを売ったりする。SIMの悪用には、ハッカーの金儲けの機会がたくさん転がっている。この記事には、自分の電話番号の守り方が書かれている。

このハッキングのテクニックがもっともっと、広く知れ渡るようになれば、多くのアプリがSMSに依存しない2FAを採用するだろう。そしてモバイルのプロバイダーは電話番号の他のSIMへの移行をより困難にし、ユーザーは自分のアカウントを守るための面倒な作業を我慢するだろう。自分自身の本人性も、そしてそのお金なども、ますますデジタル化が進めば、そのPINコードや認証アプリが、家の戸締まりと同じぐらい重要になる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

SMSを使った二要素認証を非推奨〜禁止へ、米国立技術規格研究所NISTの新ガイダンス案

nix-2fa

二要素認証(2-factor authentication, 2FA)は優れものだから、それを標準的機能として採用するサービスが増えている。しかし二要素認証のいちばん多い実装方法のひとつであるSMSを、NISTは除(の)け者にしようとしている。

NISTは計測や測定に関する全国共通のガイドラインや規則を作るお役所だが、当然ながらその関連技術分野は多く、セキュアな電子的通信に関連する技術にも、目を配っている。

このお役所が近く発表する二つの公式声明は、認証やセキュリティに関連するさまざまな推奨をアップデートし、またそれらのドキュメントを公開意見聴取(public preview)にさらす。つまり声明の内容は推奨の変更に関する公開草案だから、意見に対しては、NIST自身からの公式の応答を要する。

しかしNISTは、それがお役所仕事になるのを防ぐために、草案に対する意見やコメントを述べる新たな場としてGitHubを選んだ。それについて、“すでに関連コミュニティが集まってコラボレーションしている場にわれわれも参加することは、きわめて妥当である”、と説明している

ただしその公開意見聴取は、テキスト本体に質問や意見を書き込むという、ちょっとひどいやり方だ。すでに、“これじゃあ難しすぎるよ”、という内部者のコメントが記入されている。

いずれにしても、変更箇所はものすごく多い。でも、われわれ平均的アメリカ人にとっていちばん重要なのはたぶん、これからは“帯域外認証の手段(out of band authenticator, OOB)”としてSMSを使うな、というくだりだろう。2FAのための使い捨てコードの送付に、SMSを使うな、というのだ。

公共的移動(モバイル)電話ネットワーク上でSMSメッセージを使って帯域外確認を行うのなら、確認者は、その電話番号が実際にモバイルネットワークに結びついていること、VoIP(などのソフトウェアサービス)に結びついていないことを、確認しなければならない。それから確認者は、SMSメッセージをその既登録の電話番号へ送る。その既登録の電話番号の変更は、変更時に二要素認証を不能にしないかぎり、不可能である。そこで、SMSを用いるOOBを非推奨とする。またこのガイダンスの今後のリリースにおいては、不許可とする。

当面は、電話番号が仮想番号でないかぎり、SMSの利用は続けられるが、通信内容の露見や変造の危険性は、SMSの場合とても大きい。NISTは今は黙っているが、みんながコメントを書き込む期間が終われば、もっといろんなことを言うだろう。でも、上の太字の部分が明確に示しているように、SMSメッセージの利用は遠からず、“良からぬ行い”と見なされることになる。

代わりに、2FAの専用アプリケーション、Google AuthenticatorやRSA SecurIDなどを使うか、ドングルを使用するセキュリティサービスを利用するとよいだろう。SMSが使えなくなっても、代わりの選択肢はたくさんある。SMSは、簡単、だけがメリットだった。

NISTの変更提案の、そのほかの主なものは、以下のとおり:

  • LOAを構成部品のそれとする〔製品の全長とはしない〕
  • アイデンティティ証明を完全に改訂する
  • パスワードに関するガイダンスを完全に更新する
  • トークンなどセキュアでない認証手段を廃止する
  • フェデレーション〔複数サービス連合、≒SSO〕を要件とし推奨する
  • バイオメトリクスの適用対象を拡大
  • プライバシーの要件(作成中)
  • 有用性に関する検討事項(作成中)

さてみなさまは、ドキュメントそのものを見た方がよいかもしれない。リンクは序文の冒頭にある。コメントしたい人は、GitHubのイシュートラッカーを使おう。その詳細はここにある

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

iWatchのキラー機能は、支払いの2要素認証かもしれない

Appleは、どうやってわれわれにどうしてもスマートウォッチを買いたいと思わるのだろうか? モバイル支払いのリスクと面倒をなくすことだ。

あなたのiWatchが、支払い前のセキュリティーチェックとして、範囲内に自分のiPhoneがあると認識したとする。次に両者は店のPOSシステムに近距離無線通信(NFC)で接続し、「スターバックスに20ドル支払いますか?」という確認画面がiWatchに表示される。タップかボイスコマンドだけで、パスワードを入力することも、ポケットからiPhoneを出すことさえもなく支払いは完了する。簡単、スピーディー、安全。これでモバイル支払いは、メインストリームへの道が開かれ、その中心にAppleがいる。

赤ちゃんを抱いた母親が、両手が塞っていても優雅に食料品の支払いを済ませる、Appleのスマートなデモビデオが目に浮かぶ。

おびただしい数のスマートウォッチが今年になって出てきたが、その殆どが世間から無視されている。なぜなら今スマホでできている以上のことは大してできないからだ。Google Nowをボイスコマンドで呼び出すことは、キーボード不要の腕時計に大きな可能性を与えるが、一般消費者は人前で腕に向かって叫ぶことに二の足を踏むだろう。

なぜiWatchが必要かに対するAppleの答は、iPhoneにできないことができる、ではなく、iPhoneと一緒にできることなのかもしれない。

Appleにはこの戦略の下地がすでに出来ている。なぜなら多くの人々が様々なハイテク機器をこの会社から買っているからだ。iPhone、iPad、iPod、MacBook。iPodとMac、あるいはデバイス間でiPhotoやiCloudを使うことである程度のシナジーはあった。しかし、このiWatch/iPhoneの2ステップ認証という芸当は、Appleカルトに入信すれば財布はいらなくなる可能性を示唆しているのかもしれない。

[原文へ]

(翻訳:Nob Takahashi / facebook