個人アカウントへのアクセスは、SMSで送られてくるリンクをたった一度クリックするだけで済むほど、些細なものへと変化してきました。こうした仕組みは一見すると便利で迅速で、パスワードの負担もないように見えますが、研究者らは明らかにしたところによれば、この単純さそのものが、世界中の何百万人ものプライバシーに対する重大な危険となっています。
この調査は、テキストメッセージで配信されるリンクやコードによる認証を採用するデジタルプラットフォームが、ユーザーを詐欺、なりすまし、機密データの流出といった脅威に体系的にさらしていることを示しています。この現象は、採用ポータル、保険料見積もり計算ツール、ペットシッターのプラットフォーム、学習指導サービスなど、ありふれたサービスにまで浸透しています。従来の認証情報の代わりに、ユーザーは電話番号の入力を求められ、その後、ログインのための「マジックリンク」または数字コードを受け取ります。
脆弱性の核心は、これらのリンクが本質的に不安定な設計にある点です。研究者らは、175の異なるサービスに代わってSMS送信が実行される際に関与する技術的な接点を700以上特定しました。これらのプラットフォームの相当数が、URL内に予測可能で容易に推測できるトークンを使用しています。アドレス内の数文字を変更するだけで、攻撃者は見知らぬ他人のアカウントを乗っ取ることができます。実証実験では、研究者らは他ユーザーの非公開情報(途中まで入力された保険申込書を含む)を閲覧でき、場合によっては理論上、そのユーザーになり代わって操作を実行できることも示されました。
一部のサービスでは、コードの組み合わせがあまりに初歩的で、自動化された総当たり攻撃に弱い状態でした。別のケースでは、SMSリンクが二次的な検証を一切伴わずにデータへ無制限にアクセスできるようになっていました。さらに、これらのリンクの多くは初回送信から何年も有効なままであり、不正アクセスの機会を大幅に拡大していました。
状況をさらに悪化させているのは、SMS通信が暗号化されていないという事実です。過去には2019年、専門家が数百万件のアーカイブメッセージを含む露出したデータベースを発見し、そこにはログインリンク、氏名、住所、金融申請、その他の機密テレメトリが含まれていました。今回の研究では、3,000万件以上のメッセージ(3万以上の番号宛)から、322,000件を超えるユニークなリンクを収集しました。701件のケースで、対象サービスが重要な個人を特定できる情報(PII)—生年月日、銀行口座番号、クレジットスコア、さらには社会保障番号—を漏えいしていることが判明しました。125のサービスは、貧弱な生成アルゴリズムのために、大量のトークン列挙に対して脆弱であると特定されました。
研究の著者らは、この危機の真の規模はおそらくはるかに大きいと強調しています。彼らの観測は公開SMSゲートウェイ—匿名性を保つために一時的な番号でメッセージを受け取るプラットフォーム—に限定されていました。こうしたゲートウェイは、この安全でない認可パラダイムがどれほど広く存在しているかについて、断片的な一端しか示しません。
研究者らは、責任の主たる負担はエンドユーザーではなくサービス提供者にあると主張しています。脆弱なプラットフォームの一覧には、数百万人の顧客を抱える著名で信頼性の高い企業も含まれているため、個人が自力で防御するのは困難です。ユーザーに残された選択肢は、こうした欠陥を報告し、保護が不十分だと気づいた時点でデータを削除することくらいしかありません。
もちろん、「マジックリンク」という概念自体が本質的に悪いわけではありません。暗号学的に強固なトークン、単回使用の制約、厳格な有効期限を伴って実装されるなら、この仕組みは比較的安全になり得ます。メール経由で同様の方法を用いるプラットフォームもあり、その場合は受信箱自体が二要素認証(2FA)で保護されることで、リンクがさらに強化されます。しかし、大手金融機関や主要な通信プラットフォームにとっては、扱うデータ量の膨大さとアカウント復旧の複雑さから、このような方法は受け入れがたいものと見なされています。
この研究が最終的に示しているのは、ユーザーの利便性がますますセキュリティに勝ってしまっているという現実です。研究者が連絡を取った150社のうち、回答したのはわずか18社で、実質的な改善を実施したのは7社にとどまりました。SMSリンク認証の慣行が拡大し続けるなか、ユーザーは、これらのメッセージが単にアカウントへの入口であるだけでなく、最も機微な情報が漏えいする可能性のある経路でもあることを認識しなければなりません。そして業界の惰性を踏まえると、この問題が近い将来に解消される見込みは低いでしょう。
翻訳元: https://meterpreter.org/the-passwordless-trap-how-sms-magic-links-are-leaking-your-pii/
