- SMSのサインインリンクは「所持」だけに依存しており、個人アカウントが危険なほど無防備になる
- 弱いトークンにより、攻撃者が有効なリンクを推測して他ユーザーのアカウントにアクセスできる
- 暗号化されていないテキストメッセージは、アカウント認証の基盤として依然脆弱である
多くのオンラインサービスは現在、従来のパスワードの代わりに、テキストメッセージで送られるサインインリンクやコードに依存しています。これによりアカウントアクセス時の手順が減り、攻撃者にしばしば侵害されるパスワードデータベースを保存せずに済みます。
しかし利便性がある一方で、SMSは暗号化されていない通信チャネルであるため、傍受、再利用、長期的な露出に対して脆弱です。
そして今回、新たな技術レビューが、3万以上の電話番号に紐づく3,300万件超のSMSメッセージから抽出した322,000件以上のユニークURLを調査しました。その結果、保険見積もり、求人情報、個人的な紹介を提供するプラットフォームなどを含む少なくとも177のデジタルサービスにメッセージがリンクしていることが判明しました。
便利だが、その代償は?
公開SMSゲートウェイを用いた限られた観測期間内であっても、このレビューは、数百のサービスエンドポイントにわたり機微なユーザーデータが繰り返し露出していることを特定しました。
主なセキュリティ上の弱点は、SMSで配信されたURLの所持を、本人確認として十分だと扱う認証システムにありました。
そのようなリンクを入手した者は、追加の検証なしにユーザーの非公開情報へアクセスでき、そこには生年月日、銀行情報、信用関連の記録が含まれることも少なくありませんでした。
研究者らはまた、125のサービスがエントロピーの低いトークンを使用しており、文字を変更することで有効なリンクを推測できる可能性があることも確認しました。
一部のリンクは数か月、場合によっては数年にわたり有効なままで、最初のログイン試行をはるかに超えてリスクが長期化していました。
さらに、画面上で見えるインターフェース要素とバックエンドのデータ要求の不一致により、個人情報の不要な過剰取得が発生していました。
公開SMSゲートウェイが提供する可視性が限定的であることを踏まえると、影響を受けるサービス数は過小評価されている可能性があります。
SMSトラフィックは暗号化なしで送信され、過去の開示では、保存されたテキストメッセージが配信後も長期間アクセス可能なまま残り得ることが示されています。
こうした既知の制約にもかかわらず、利便性が高いと見なされ、パスワード保存への依存を減らせることから、SMSベースの認証は拡大し続けています。
調査中に連絡を取った約150の提供事業者のうち、報告された弱点を認めたのは18社にとどまり、是正措置を実施した事業者はさらに少数でした。
それらの変更により、数千万人のユーザーに対する露出が減ったと報告されていますが、ほとんどのサービスは公の回答を示しませんでした。
ファイアウォールのようなユーザー側の防御策は、欠陥のある認証ロジックによって生じるリスクをほとんど低減できません。
同様に、マルウェア除去ツールも、有効なリンクさえあればアクセスできてしまう状況ではほとんど役に立ちません。
この結果は、直接的なアカウント侵害ではなく設計上の選択に起因する脅威を、なりすまし被害対策サービスがどのように評価しているのかという疑問を投げかけます。
これらの問題は、影響を受けるユーザーにはほとんど見えないまま残る弱点を、サービス提供者が修正することに構造的に依存していることを浮き彫りにしています。
