偽のオンラインアカウント作成に対する主要な防御壁の一つが、驚くほど脆弱であることが明らかになった――わずか数セントで回避できてしまうのだ。ケンブリッジ大学の研究者らは発見した。ソーシャルネットワークやその他のオンラインサービスで広く利用されているSMSベースの本人確認は、グレーマーケットで容易に入手できる一時的な電話番号を用いることで、大規模に迂回できるという。
電話番号認証は、偽アカウント防止の要と一般に見なされている。携帯番号に有効化コードを送信することで、表向きはユーザーの真正性を担保する仕組みだ。ところが研究では、研究者らはSMSActivate、5Sim、SMShub、SMSPVAという4つの人気サービスを調査した。これらは使い捨て番号を1回の有効化あたり10〜30セントで提供している。場合によっては、特に英国、ロシア、インドネシアの番号で、費用が10セント未満にまで下がった。最も高額だったのは日本とオーストラリアの番号で、それぞれ最大5ドルと3ドルだった。
これらのサービスの一部は、驚くほど効果的であることが示された。いくつかのテストでは、研究者らは中断されることなくアカウントを作成できた。これは、認証要件がプラットフォーム間で大きく異なることにも助けられている。例えばWhatsAppは著しく厳格で、有効化には約3ドルかかった。対照的に、ソーシャルネットワークXはその約8分の1、約8セントだった。研究の著者の一人によれば、この差は、他のプラットフォームと比べてXのモデレーションが相対的に弱いことを反映している可能性がある。
WhatsAppはその後、この調査結果についてコメントし、こうしたサービスに関する研究を歓迎すると述べたうえで、電話番号に加えて、悪用を検知するための追加の技術的・行動的シグナルも用いていると強調した。Xの担当者はコメント要請に応じなかった。提供事業者の一つであるSMSPVAは、自社は合法的に運営しており、すべての規制を遵守し、テスターだけでなくプライバシー意識の高い利用者にもサービスを提供していると主張した。残るプラットフォームはコメントを控えた。
この研究には、国別・プラットフォーム別に使い捨て電話番号の価格を視覚的に示すオンラインダッシュボードも付随していた。研究の査読者の一人であるピッツバーグ大学の教授によれば、公表されたデータは偽情報の「経済的側面」の重要性を浮き彫りにしている。すなわち、防御策を回避するコストを理解することは、脅威の真の規模を評価するうえで不可欠だという。
総合すると、長らく十分に堅牢だと考えられてきた基本的な認証手段でさえ、偽アカウントの массовое な作成や偽情報の拡散に対して、もはや十分な防御を提供できないことを示唆している。これらの保護を回避するコストがあまりにも低いため、悪意ある行為者は事実上、経済的制約なしに活動できてしまう。
