アカウント名:
パスワード:
米国の場合、このスレッドのように人間が介在するケースではなくても、SMSのメッセージの横取りの可能性が残る携帯ネットワーク構成となっているため、SMSを使った二段階認証は非推奨という話が依然からありました。この記事です。https://japan.zdnet.com/article/35095393/ [zdnet.com]
日本国内の携帯ネットワークであればショートメッセージの横取りは難しいという話だったと思いますがこのようにキャリアの人間が関与するケースではリスクがありますね。
高度なセキュリティが要求される要件だと、SMSは使わず end to end の認証と暗号化に頼った方がむしろセキュリティが向上するかもしれません。もちろん弱いパスワードを使っていたり端末側が malware にやられてたりすると論外ですから端末側が通常よりも堅固に防衛されているケースに限ってですが…
タレコミ元を読めばわかると思いますが、本件はキャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、暗号化は関係ないオフトピっすね。
ちなみにSMSによる二段階認証は海外のSMSゲートウエイを使っていることが多いので、国内の経路が安全だからといって安心はできないです。
#3615456 の AC です。
> キャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、
それは分かっています。で、犯罪者が結果的に SMS 経由のメッセージを盗み、2FA のような認証を突破したという話ですね。
> 暗号化は関係ないオフトピっすね。
まあ暗号化は書かずに認証とだけ書けばよかったですかね。想定している状況では情報を保護するためにいずれにせよ end to end での認証だけではなく暗号化もすることにはなりますが。
SMSじゃなくて、音声でお知らせしてくる方だったら安心なんですかね?Googleの二段階認証を音声にしてるんだけど、「発信元:アメリカ合衆国」って出るから最初は大統領かと思っt。
SMS盗聴はそうかもしれませんが、今回話題のSIMハイジャックをやられたら、電話番号が盗まれてるのでもう万事休すかと。
元のコメントは end to end と言ってるので、サーバー側で閲覧権限を与えようが、エンドユーザー同士で暗号化すれば見れませんよ。SIMクローンしたとしても、正規のユーザーが持ってる秘密鍵がないと暗号文が降ってくるだけで意味がない。
EmailでいえばPGPなんかと同じかな。鍵交換とか課題があるので世界中の通信キャリアが絡むSMSでは簡単ではなさそう。SMS/MMSの後継と言われてるRCSもEndToEnd暗号化じゃないもんな。
SIMカードに秘密鍵(Ki)が書き込まれているのに、さらに別に秘密鍵を用意するという話ですか? どうやって管理するんでしょう……
YでSMS横取りと思われるなりすましが海外でありました
警察も捜査してくれず泣き寝入りです
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
end to end での認証に限定するしか (スコア:0)
米国の場合、このスレッドのように人間が介在するケースではなくても、
SMSのメッセージの横取りの可能性が残る携帯ネットワーク構成となっているため、
SMSを使った二段階認証は非推奨という話が依然からありました。
この記事です。
https://japan.zdnet.com/article/35095393/ [zdnet.com]
日本国内の携帯ネットワークであればショートメッセージの横取りは難しいという話だったと思いますが
このようにキャリアの人間が関与するケースではリスクがありますね。
高度なセキュリティが要求される要件だと、SMSは使わず end to end の認証と暗号化に頼った方が
むしろセキュリティが向上するかもしれません。
もちろん弱いパスワードを使っていたり端末側が malware にやられてたりすると論外ですから
端末側が通常よりも堅固に防衛されているケースに限ってですが…
Re: (スコア:0)
タレコミ元を読めばわかると思いますが、本件はキャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、暗号化は関係ないオフトピっすね。
ちなみにSMSによる二段階認証は海外のSMSゲートウエイを使っていることが多いので、国内の経路が安全だからといって安心はできないです。
Re: (スコア:0)
#3615456 の AC です。
> キャリアの人間が「SMSを配送経路で盗聴した」のではなく「不正なアクセス権を犯罪者に与えた」と言うべきものなので、
それは分かっています。
で、犯罪者が結果的に SMS 経由のメッセージを盗み、2FA のような認証を突破したという話ですね。
> 暗号化は関係ないオフトピっすね。
まあ暗号化は書かずに認証とだけ書けばよかったですかね。
想定している状況では情報を保護するためにいずれにせよ end to end での認証だけではなく
暗号化もすることにはなりますが。
Re: (スコア:0)
SMSじゃなくて、音声でお知らせしてくる方だったら安心なんですかね?
Googleの二段階認証を音声にしてるんだけど、「発信元:アメリカ合衆国」って出るから最初は大統領かと思っt。
Re: (スコア:0)
SMS盗聴はそうかもしれませんが、今回話題のSIMハイジャックをやられたら、電話番号が盗まれてるのでもう万事休すかと。
Re: (スコア:0)
元のコメントは end to end と言ってるので、
サーバー側で閲覧権限を与えようが、エンドユーザー同士で暗号化すれば見れませんよ。
SIMクローンしたとしても、正規のユーザーが持ってる秘密鍵がないと暗号文が降ってくるだけで意味がない。
EmailでいえばPGPなんかと同じかな。鍵交換とか課題があるので世界中の通信キャリアが絡むSMSでは簡単ではなさそう。
SMS/MMSの後継と言われてるRCSもEndToEnd暗号化じゃないもんな。
Re: (スコア:0)
SIMカードに秘密鍵(Ki)が書き込まれているのに、さらに別に秘密鍵を用意するという話ですか? どうやって管理するんでしょう……
Re: (スコア:0)
YでSMS横取りと思われるなりすましが海外でありました
警察も捜査してくれず泣き寝入りです