現在、多くの企業やサービスで利用されているSMS型多要素認証(MFA)ですが、皆さんはその安全性が問題視されていることをご存じでしょうか?
2024年12月、米国のCISA(サイバーセキュリティ庁)がSMS型認証のリスクを指摘し、認証アプリや生体認証などの、より安全な認証システムを利用するよう “Mobile Communications Best Practice Guidance(モバイル通信に関する安全対策ガイドライン)” を発表しました。
モバイル通信に関する安全対策ガイドラインとは
米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)は、国家の重要インフラをサイバー攻撃やテロなどの脅威から守るための連邦機関であり、その一環として、政府機関や企業がモバイルデバイスを安全に利用するための指針 “Mobile Communications Best Practice Guidance(モバイル通信に関する安全対策ガイドライン)” を提供しています。
このガイドラインでは、すでに広く普及している「SMS認証ベースの多要素認証からの移行」について記載されており、SMS認証のリスクが指摘されています。
- エンドツーエンド暗号化された通信を使用する
- FIDO(Fast Identity Online)によるフィッシング耐性のある認証を有効にする
- SMSベースの多要素認証からの移行
- パスワードマネージャーを使用する
- 携帯電話会社のアカウントにPINを設定する
- ソフトウェアを定期的に更新する
- 最新のハードウェアを使用する
- 個人用VPNの使用は避ける
SMS認証とは
SMS認証(SMS-based authentication)とは、携帯電話のSMS(ショートメッセージサービス)を使って本人確認を行う認証方法です。ログイン時などに「スマホに届いた6ケタのコードを入力してください」と求められる、あの認証方法のことです。
このSMS認証は通信が暗号化されておらず、電話番号を基盤とした仕組みのため、いくつかのリスクを抱えています。
SMS認証が抱えるリスク
SMS認証は広く普及しており、利用方法が単純でわかりやすい反面、以下のようなリスクが内在しています。
通信の傍受
認証コードや個人情報を盗まれることで、不正ログインや情報漏洩が発生するリスクが高まります。
SIMスワップ攻撃
電話番号を乗っ取りられることにより、サービスの不正利用や停止のリスクが高まります。
フィッシング(SMS詐欺)
巧みな内容のメールなどにより、認証コードをだまし取られることで、アカウントが乗っ取られるリスクが高まります。
こうした脅威が増加する中、企業においても認証手段の見直しが求められています。
PassLogic(パスロジック)でリスクを回避!
パスロジが提供する多要素認証ソリューション【PassLogic(パスロジック)】は、SMS型多要素認証が抱えるリスクを解消し、安全性・利便性・コスト効率を兼ね備えた認証環境を提供します。
通信傍受を防ぐ独自認証方式
- 通信経路上でパスワードを送信しないため、傍受リスクを大幅に低減
- ワンタイムパスワード(OTP)で、フィッシングやリプレイ攻撃も無効化
こちらもおすすめ:
マトリックス方式のワンタイムパスワード「PassLogic認証」とは
多様な認証手段をサポート
- 米政府が推奨する生体認証や、エンドツーエンド暗号化(E2EE)にも対応
- 16種類の幅広い多要素認証で、企業ごとの多様なセキュリティニーズに対応
こちらもおすすめ:
「PassLogicの多要素認証」
運用コストを大幅に削減
- メッセージ送信費用や専用機器が不要で、運用コストを大幅に削減
- シンプルな運用管理により、効率的な認証基盤を構築
ログインプロテクトでアクティブに守る
- 【PassLogic Authenticator】を用いることで、《ログインプロテクト》が利用可能に
- 従来の多要素認証では防ぎきれないリスクにも対応
こちらもおすすめ:
「常にロック」であらゆる不正アクセスを遮断する「ログインプロテクト」とは
サイバー攻撃の巧妙化に伴い、従来の認証だけでは防ぎきれないリスクが増大しています。
企業の信頼を守り、未来のリスクに備えるためには、セキュリティの要である認証の強化が急務です。
ぜひPassLogicで、安全かつ効率的な認証環境を整えませんか?
この記事を書いた人:
パスロジ株式会社 マーケティングチーム
〒101-0051 東京都千代田区神田神保町1-6-1 タキイ東京ビル7F
お問い合わせ https://passlogic.jp/inquiry/