Gmail詐欺の仕組み – 2段階認証にSMSを使う危険性

著者:Yuichi Okita

Gmail詐欺の仕組み – 2段階認証にSMSを使う危険性

【無料体験】
Amazon本を耳で聞ける、Audibleを無料で体験できます。

最終更新日:2019-11-13
公開日:2019-11-11
Header Image : Pixabay

2段階認証にSMSを使う危険性をGmail詐欺を例にして書いてみます。

2段階認証の方法は、大きく分けて2種類ある

Google, Microsoft, Yahoo!Japan, Amazon, WordPress.com, Facebook, など巨大サイトにログインする際には、2段階認証を勧められます。2段階認証はとても有力な方法なのですが、現在、この方法は大別して2種類に分けられます。

  1. SMS(ショートメッセージ)
  2. Authenticatorアプリ(GoogleやMicrosoftやYahoo!Japanなどがアプリを提供)

2段階認証を設定しているから安心になるものでもなく、特にSMSが届く認証方式は危険だと考えています。その理由を、Gmail詐欺の仕組みを例にして説明していきます。

Gmail詐欺の仕組み

以下は、セキュリティソフト会社、Symantec(シマンテック)の資料を参考にさせて頂いております。

Gmail詐欺の手口

  1. 攻撃者が被害者のメールアドレスと電話番号を入手
  2. 攻撃者は被害者のふりをして、Googleにパスワードのリセットを依頼
  3. Googleから被害者にコードが送信される
  4. 攻撃者が被害者にメッセージを送る
    1. 「Googleはあなたのアカウントで不審な活動を検出しました。不正な活動を停止させるため、あなたのモバイルデバイスにお送りしたコードを返信してください」
  5. 被害者はGoogleが通知したパスワードリセット認証コードだと思って、攻撃者に通知
  6. 攻撃者がパスワードをリセット。攻撃者は目的の情報を取得したり転送をセットアップしたりした後、Google のふりをして新しい一時パスワードを被害者に通知し、被害者が侵入に気づかないようにする。

問題点

携帯電話番号は簡単に入手できます。

  • コンビニで荷物を送るとき
  • 営業所で配送を依頼するとき
  • 郵便物や宅急便の送り状に記載されているとき
  • レストランを予約するとき
  • 飲み会を予約するとき

SMSの危険性

上のように、日常生活で自然にあなたの携帯電話番号は晒されています。SMSは携帯電話番号さえ分かれば、相手に送ることが出来ます。また、本人確認のためのSMSがWebサービスから機械的に飛んでくる過程で、悪意あるユーザーに傍受される危険性も否定できません。私は出来るだけSMS方式を選ばず、Authenticatiorアプリを使用するようにしています。

Gmail詐欺に引っかからないためには

SMSをやめてAuthenticatorアプリで2段階認証をする。但し、アプリに慣れる必要がある。
制限時間に焦らされるので、場数の慣れが必要です。

SMS番号を知られないための対策

私が行っている対策は下の2つです。

  1. 家族・知人以外には教えない
  2. 宅急便やサービス予約専用の番号を使う

これらをするだけでも、携帯電話番号(SMS番号)を公然と晒される機会は激減します。

2段階認証での詐欺を減らすための対策

Authenticatorアプリを使うと、SMSよりはセキュリティ度が高いと考えています。理由は、アプリがスマホにコードを表示するので、ローカルでの操作になるからです。

対して、SMSはサービス提供会社がシステム的にコードを飛ばしてくるので、攻撃者が途中でスキミングする危険性を否定できません。もちろん、Authenticatorアプリが万全とは考えていませんが、両者を比較すると、Authenticatorアプリの方がより安全だと考えられますし、それに生体認証も加わればより堅牢な2段階認証になる、といえると思います。

有名なAuthenticatorアプリ

Google : Amazon, Yahoo!Japan, Facebook, WordPress.com, など色々登録できるが、設定が中級者向き

Microsoft : 生体認証対応。使い方が割と簡単な印象。

Yahoo!Japan : 私の記憶では、この手のアプリで結構老舗、早期からワンタイムパスワードを取り入れている。

【参考】2段階認証 サイト別説明ページ

Google

Google 2 段階認証プロセス

Microsoft

Microsoft アカウントで 2 段階認証を使用する方法

Yahoo!Japan

ワンタイムパスワード(OTP) – Yahoo! JAPAN IDガイド

ご不明な点がございましたら、コメントをお待ちしております。
内容に不備な点や間違いがございましたら、下のフォームよりご指摘頂けると、ありがたく思います。

最後までお読みいただきありがとうございます。

このサイト内を検索できます。

アクセスランキング(1時間)

ご連絡ありがとうございます。

当記事へのご意見・ご感想・ご感想は、下記フォームよりお受け致しております。
今後のサイト運営に積極的に反映させて頂きます。

お客様のコメントはセキュリティで保護されて安全に届きます。

内容に不備な点もどうぞご指摘ください。
今後も品質の高い記事作成に努めてまいります。

このサイト内を検索できます。

著者について

Yuichi Okita administrator

好物は大阪名物たこ焼きと焼き鳥です。コンサルティング科目:SEO、コピーライティング、ブランディングアップ以外に、PCハード面、ソフト面、マーケティング、E-mail marketing、他。/ 好きな書籍「孫子の兵法」 / 法人のお客様は、お問合せフォームをご活用くださいませ。/ 個人のお客様は、SEOコンサルティングのみお受けしております。Twitterからのお問合せもお受けしております。

    コメントを残す

    このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください