2023年2月15日、一部のTwitterユーザーに衝撃が走った。有料サービス「Twitter Blue」に加入していないユーザーは2023年3月20日以降、SMS認証(ショートメッセージ認証)を利用できなくなるというのだ。
SMS認証はTwitterが用意する2要素認証の1つ。提供を中止する理由は「悪用されているため」。他の2要素認証である「認証アプリ」や「セキュリティーキー」よりもセキュリティー強度が低いからだと言いたいのか。正直、訳が分からなかった。
「パスワードだけでは危険なので、全てのユーザーに対して2要素認証を必須にする。加えて、2要素認証の中でも最も強度が低いSMS認証の提供も中止する」――。このような変更なら理解できる。
だが2要素認証を必須にはしない。従来通り、パスワードだけでも問題ない。また、有料会員には提供し続ける。SMS認証が悪用される危険な認証方法なら、なぜ有料会員には使い続けさせるのだろうか。
筆者が混乱したのは、理由がセキュリティーだと考えたためだ。実は、そうではなかったのだ。
7割以上がSMS認証
2要素認証とは、2種類の情報(認証要素)を使うユーザー認証方法である。SMS認証は代表的な2要素認証の1つで、パスワードとSMSによるワンタイムパスワード(確認コード)を使う。
あるサービスにログインしたいユーザーは、ユーザーIDとパスワードを入力する。するとあらかじめ登録されている電話番号に対して、一定時間だけ有効なワンタイムパスワードがSMSなどで送られる。このワンタイムパスワードを入力すると、サービスにログインできる。
つまりパスワードを知っていて、なおかつ電話番号を登録したスマートフォンなどを所持しているユーザーだけがログインできることになる。
認証アプリやセキュリティーキーによる2要素認証とは異なり、SMS認証では追加のソフトウエアやハードウエアを必要としない。このため導入のハードルは低い。実際、米Twitter(ツイッター)が2022年7月に公表したリポートによると、2要素認証を利用するユーザーの74.4%がSMS認証だった。
一方で、認証アプリやセキュリティーキーに比べてSMS認証はセキュリティー強度が低いとされる。SIMスワップなどによりスマートフォンを乗っ取られると、SMS認証を突破されてしまうからだ。SIMスワップとは、SIMカードを不正な方法で再発行される詐欺のこと。また、スマートフォンに送られてきたワンタイムパスワードを盗み見される恐れなどもある。
とはいえ、パスワードだけのユーザー認証よりも大幅に安全性を向上できることは確かだ。このためセキュリティーを理由にしたと思われるSMS認証の提供中止には、多くの人が批判を寄せた。
