パスワードを忘れた? アカウント作成
12856694 story
アメリカ合衆国

SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 49

ストーリー by hylom
ロック中でも表示されちゃいますしねぇ 部門より

米NIST(国立標準技術研究所)が、SMSを用いた二要素認証は安全ではないとして非推奨とする方針を出したという(TechCrunch)。

SMSは電話番号だけで送信でき、すでに機械的にSMSを自動送信する手段が普及しているため、手軽な二要所認証手段として使用されている。しかし、通信内容の盗み見や傍受、改ざんなどの可能性があるなどとして、NISTのガイドラインではSMSを使った二要素認証について非推奨とし、さらに今後は不許可とする方針だそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。

    しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、挙句の果てに画面ロックまで解除されてしまいます。

    アカウントを奪う方法は簡単で、

    1. 何らかの隙にターゲット(恋人・知人・同級生・家族その他)のスマホを盗む
    2. Google アカウントのIDは公開情報(メールアドレス)なので入手可。あとは、パスワードアシスタンスの「自動音声通話」で6桁のコードを受け取り(電話の着信なのでロック時でも可)、パスワードを再設定する。 [ajaxtower.jp]
    3. 2段階認証も同様に、音声通話でコードを取得する [google.com]ことで突破できる(電話の着信なのでロック時でも可)。

    と、ターゲットのスマホで自動音声コードを取得する以外はすべてWebで完結します。そして、Android スマホの画面ロックは、Googleアカウントによる認証で解除可能なので、スマホ内に保存された全データを盗み取れてしまいます。不倫の証拠なども簡単に確保できてしまいますね。

    そもそも、Googleアカウントに電話番号を登録していなければこの方法は使えないので、2段階認証を有効にするために電話番号を登録するとソーシャルハッキングに対しては、かえって脆弱になると言えます。

    昔は、パスワードの再登録には「秘密の質問への答え」と「生年月日」が要求されるサービスが多く、「秘密の質問への答え」を推測不可能なものにすることで自衛が可能でした。しかし、秘密の質問の問題が指摘されるようになり [it.srad.jp]、音声通話・SMSを認証に使う方法が主流になったことにより、ユーザー側での自衛が困難な新たなセキュリティリスクが生じてしまいました。電話番号を複数所持して、パスワードの復旧用の電話番号(パスワード忘れ用)や2段階認証用のコード受け取り用に登録する電話番号を普段持ち歩いている携帯電話と別のものにするといった対策は可能ですが、電話番号・電話機を複数所持している必要があります。

    パスワードの再登録(アカウントの回復)を有料化し、アカウントの名義と同じ氏名のクレジットカードを必須としたうえで、パスワードの再登録に3日ぐらい時間がかかるようにして、「あなたのGoogleアカウントのパスワードが再登録されようとしています。あなた自身がこの手続きをしていない場合にはアカウントが乗っ取られようとしています。」といったメールとSMSを数時間おきに送信する仕様に変更すべきだと思います。

    • Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
      その状態で守れないケースがあるのはむしろ自然であって批判するところではない
      典型的な「キチガイセキュリティ」に成り下がってるよ

      新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?

      親コメント
      • by Anonymous Coward

        ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
        「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
        セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。

        • 物理的にデバイスをアクセスされてる時点でアウトでしょ。
          「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。

          仮に、銀行のワンタイムパスワード生成器を盗まれたとしても、IDとパスワードが盗まれない限りアカウントへの不正アクセスはできません。「パスワード」と「物理トークン」の2要素で認証しているため、そのうちの1つだけが盗まれても安全が確保されるわけです。物理トークンだけで、パスワードの再登録が可能な銀行は存在しないのでは?

          更に、みずほ銀行やゆうちょ銀行など、多くの銀行では普段使っている環境(IPアドレスやCookie)以外からログインしようとすると追加で秘密の質問や合言葉に回答する必要があるという「3要素認証」となっています(秘密の質問ではパスワードリセットはできません)。「ワンタイムパスワード生成器を盗まれたら終わり」な銀行は存在しないと思います。

          一方、Google アカウントを含む多くのオンラインサービスの2段階認証は、「物理トークン」のみでパスワードの再登録が可能なことから事実上「1要素認証」になっているのが問題であり、場合によっては2段階認証の設定によりセキュリティが低下することが問題だと指摘しているんです。

          「PCに物理アクセス」については、BitLockerなどでドライブ全体を暗号化することで対策可能です。

          # なお、オンラインバンキングのセキュリティについては、トランザクション署名を導入しているずほ銀行などの金融機関を除き、MITBによる振込先・金額の改ざんを防げないのが大きな問題だと思います。

          親コメント
          • それは「端末にセキュリティーロックをかけてない」という別の問題を無視してるんじゃない?

            一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。

            2段階認証って「通信の途中経路や、端末に入ったマルウェアへの対策」なので、Googleアカウントが判ってる状態でのデバイス盗難みたいなケースへの対策は、そもそも2段階認証をする目的に入ってないと思うけど。

            親コメント
            • 一般的なAndroid端末はセキュリティーロックがかかった状態ではGoogleアカウントだけでは解除できないし、セキュリティーロックがかかっていなければアカウント乗っ取り云々以前にGmail等にダイレクトにアクセスできるもん。

              比較的新しめの Android 端末であれば、Google アカウントにログインできれば、Webから Android デバイス マネージャー [google.com] にアクセスすることで、端末のセキュリティロックを上書き(別のパスワードやPINに変更)できますよ。

              そのため、正しい使い方としては、端末のロック解除パスワードを忘れた場合でも、Google アカウントにログインできればロック解除が可能です。悪用する立場からすれば、Google アカウントにログインさえできれば、端末のロックを解除できてしまいます。

              また、ロックがかかっていても、電話の着信は可能なので、自動音声通話により OTP を受け取ることができます。

              Android の「リモートでのロックとデータ消去を許可する」がオンになっている必要がありますが、

              Nexus5、Nexus6、Nexus7(2013) Wi-Fiモデル、Nexus7(2013) LTEモデル、Nexus9で確認したところ全てデフォルトでオンになっていました。

              とのことです(Androidのロック画面解除パターン/パスワード/PINを忘れた時の初期化を伴わない対処法。 [androidlover.net])。

              親コメント
              • by Anonymous Coward

                だから前提が間違ってるっつーの。

                2要素認証で防ぐのはマルウェアに感染して、端末にキーロガー等を仕込まれたり、ブラウザの画面に干渉することで不正操作されるようなネットワーク越しの攻撃なので、物理的な端末の盗難への対策として考えることが間違いなの。
                ましてや「Googleアカウントがロックを解除しなくてもわかってる端末を狙って盗まれてる」って時点で、そんな状況の対策に2認証要素とか考えるのがお話にならない。

                自宅にセコム導入しようがドアの鍵を頑丈にしようが家の外からの放火は防げないし、どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
                2要素認証そのものが「デバイスの盗難」対策でないのだから、そこでどれだけ「2要素認証がデバイスの盗難には無力」と叫んだところで意味はない。

                デバイスの盗難対策は物理的方法(ワイヤーで固定するとか)や生体認証でのアクセス抑止、あるいは暗号化に別途キーを使う等、別の対策をとるべきであって、今回の問題と一緒くたにするのが間違ってる。

              • by Anonymous Coward

                「2要素認証がデバイスの盗難には無力」ではなく
                「2要素認証がデバイスの盗難時のリスクを上昇させる」という話であり
                「2要素認証のはずがデバイスの所持という1要素に還元できてしまう」という話ですよ?

                デバイス盗まれるって時点で相当な問題が発生しているのは確かだけど、
                認証要素数は確かに減っているし、リスクとなりうる部分なのも間違ってない。

                > どれだけ暗証番号や錠前が高度な金庫だとしても金庫ごと盗まれたらアウトでしょ。それと同じ。
                暗証番号を総当りで突破するのにかかる時間や回数ロックについては無視ですかそうですか。

        • by Anonymous Coward

          「物理的にデバイスをアクセスされてる時点でアウト」って・・・
          デバイスを盗まれたら諦めるんですか?

          携帯電話のロックって「物理的にデバイスが奪われた」場合の対策でしょうに
          何の為に遠隔初期化等の機能があると思っているんでしょうか

          • by Anonymous Coward

            遠隔初期化と二段階認証、全然関係ないやん

            二段階認証は認証時の多段ステップ確保でしかなくて、盗難及び初期化を防ぐ手段ではないよ
            それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん

            • by Anonymous Coward

              まあ Printable is bad. (38668) だから、かわいそうな人を見る目で見てあげなよ
              今までの文章を見ればこの人が誇大妄想にとりつかれている人なのはわかるだろ

              • by Anonymous Coward

                Printable is bad. (38668) みたいな物言いって一見なるほど、そうなんだぁって思うけど
                よく読んでみると頓珍漢なアレゲ。こわいこわい

              • by Anonymous Coward

                具体的に反論できずに何言ってるんスかねあんたら。

                > それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
                2要素のうちの面倒くさい方だからといって、2要素が1要素になってる事に変わりはないと思いますが。

      • by Anonymous Coward

        「暗証番号設定してあっても携帯電話を他人が触れる状態で一定時間目を話したらアウトなのは問題」
        って話の何処が納得出来ないんだ。

        そりゃ彼の発言は一々攻撃的ではあるけど、攻撃的で相容れないかどうかと正しいかどうかは別の話だぞ。

    • > Google アカウントのIDは公開情報(メールアドレス)なので入手可。

      恋人や結婚相手に対して隠したいことがあるならGoogleアカウント自体を分けますので
      GoogleアカウントのIDは不明のほうが普通ですよ
      メールアドレスは公開情報だと言い張るなら世の中のすべてのセレブのメールアドレスをあなたがここに書いてみてください
      公開されてるんでしょ?よろしくお願いしますね

      親コメント
    • by Anonymous Coward

      ハック対象の人になりすましてSIMカードを無くしたと携帯電話会社に言って新しい正規のSIMを発行させて奪うという方法も最近ありましたね。
      こちらだと物理的に近づく必要すらないので(暗証番号とかの問題はありますが)、SMSや電話でパスワードリセットができるサービスのセキュリティは電話会社のソーシャルハッキングに対するセキュリティより高くならないことになります。

    • 旧名 Google Voice サービスで、そういうことのためだけの電話番号を用意していますが、日本ではサービスしてないんだっけ?

  • by Anonymous Coward on 2016年07月26日 20時10分 (#3053466)

    「じゃあ他にどんな手段があるんだよ」ってのがあって。

    2段階認証の意義は、どちらかというと2段目の認証がセキュアなことよりも、2段目の認証が1段目と違うルートを使っていることにあるわけじゃん
    ぶっちゃけ特定ユーザーのPC通信内容とSMSの両方を盗聴できる状態にあったら、それ以外の2段階認証を実装したとしてもあっさり破られそうだと思うけどなぁ
    いやまあ生体認証デバイスの統一規格とか出て普及したら話は変わってくるかもしれんが

    • Re:実際のところ (スコア:4, 参考になる)

      by Anonymous Coward on 2016年07月26日 20時57分 (#3053496)

      アメリカとか特有の事情みたいっすな
      「SMSの送信先が回線交換じゃない」場合に盗聴の可能性があるから…という話らしい
      日本だとまだ当てはまらないんじゃないかな

      親コメント
    • by Anonymous Coward

      sms使うのがいけないので、SSLとかセキュアなプロトコル通せばいいんじゃない?

    • by Anonymous Coward

      私はそもそも「2段階認証にSMSにしろ、電話にしろ使うのが間違い」だと思いますね。

      「サービスの内容提供にそもそも電話番号がないとできないもの」ならまだしも、
      サービス提供側へサービスそのものに不要な情報を与えたくない。与えることその物が情報漏洩リスクでしかないので。

      サービス提供者側から情報漏れがあった場合、不要なものでクリティカルなものまで漏れてしまう。

      「1段目と違うルート」だけであればそれこそ「二つ目のフリーメールアドレス必須」程度で構わない話なのに

  • by Anonymous Coward on 2016年07月26日 21時07分 (#3053506)

    If the out of band verification is to be made using a SMS message on a public mobile telephone network, the verifier SHALL verify that the pre-registered telephone number being used is actually associated with a mobile network and not with a VoIP (or other software-based) service. It then sends the SMS message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change. OOB using SMS is deprecated, and will no longer be allowed in future releases of this guidance.

    https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2... [techcrunch.com]

    - 二要素認証にSMSを使う場合は、番号が(攻撃者の受け取りやすい)VoIP等ではないことを確認しなければならない(SHALL)。
    - 登録済電話番号の変更をする際には、二要素認証が必須でなければならない(SHALL NOT)。
    - Out-of-band 認証へのSMSの使用は非推奨(deprecated)であり、将来のガイダンスでは認められないものとする。

  • やはりここは (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2016年07月26日 20時55分 (#3053492)

    伝書バト認証にするしかない。異論は推奨する。

    • by Anonymous Coward

      そこは狼煙かモールス信号だよ

      • by Anonymous Coward

        ダダ漏れLINE使うよりはマシか

        • by Anonymous Coward

          多段階認証がベストだろう。つまりF2FとDNAテストと声紋。

    • by Anonymous Coward

      RFC1149 [wikipedia.org]のターンか

  • 2段階認証で認証キーを受け取る場合。
    もしその認証キーを受け取る端末に悪意あるSMS読み取りアプリが入れられていたら、そこから認証キーが奪われる可能性があるとか?
    アプリインストール時にSMS読み取り許可見てれば防げそうだけど、わざわざそこまで気にしないからなぁ。
    以後気をつけよっと。

  • by Anonymous Coward on 2016年07月26日 19時11分 (#3053417)

    えっガラケー?ガラケー使う人は二要素認証が必要なオンラインサービスなんか使わないでしょ(^^

    • by Anonymous Coward on 2016年07月26日 19時26分 (#3053427)

      ガラケーは既にSSLを始めとした暗号化規格に追従できてないので
      ネットに繋ぐこと自体がリスキー

      親コメント
      • SMSを受け取る行為のどこにSSLが関係するの?

        親コメント
        • by Anonymous Coward on 2016年07月26日 19時50分 (#3053444)

          認証して接続する際にSSL暗号化されてないサービスを使うつもりなんでしょうか?
          揚げ足取ったつもりが自分の無知さらしてるだけってオチになってませんか?

          親コメント
          • SMS受け取った端末でそのままアクセスしたりしないでしょう。
            SMSの2要素認証って、典型的な使い方は、

            ・PCでアクセスする際
            ・6桁くらいの数字がSMSで携帯に送られてきて
            ・それをPCに入力して認証

            ですよ。認証デバイスそのものでアクセスしたら2要素認証の意味ない(とまでは言わないが、効果のわりに却って操作がめんどくさい)じゃん。

            親コメント
          • by Anonymous Coward
            認証キーの受けとりにガラケーを使うだけで、サービスにガラケーで接続することなんて、あなた以外は想像もしてないと思いますけど。
          • by Anonymous Coward

            このコメントから分かることが二つあると思う。
            1) このACさんは携帯電話網がそもそもTCP/IPで動いてないことを知らない
            2) このACさんは二要素認証の「」が何を意味するかさっぱり分かっていない

            • by Anonymous Coward

              3)このACさんは自身の無知を自覚していない

              • by Anonymous Coward

                4) SMSをSNSと勘違いしている

                #さすがにそれは

      • by Anonymous Coward

        SMS受け取るだけなのに?

    • by Anonymous Coward

      スマホが壊れた場合の、復旧手段の管理が面倒なんだよなぁ

      • by Anonymous Coward

        そんなあなたに Authy https://www.authy.com/ [authy.com]
        あっち側にバックアップしてくれる。

        • by Anonymous Coward

          パスワードを他人に教えてるってこと? 銀行サイト統一ログインアプリとかは批判するのにこれはスルーなの?

          • by Anonymous Coward

            Authyはパスワードを教えるわけではないのだが

  • by Anonymous Coward on 2016年07月26日 19時36分 (#3053433)

    スマホに頼るのが正解かというとそれも不安ですけどね
    特にiPhoneはね

    • by Anonymous Coward

      ん?クローンiPhoneって何?
      中身クローンできてもSIMないと電話番号まではクローンできませんが?
      不可能ではないんだろうけど、SIMのクローンが現実的じゃないからその電話番号の持ち主を確認して認証するというのがSMS認証なわけだが。

      一応、他の端末でもiMessage同様にSMSを同時受信できる設定もあるが、その場合も別端末からの認証が必要。

  • by Anonymous Coward on 2016年07月26日 22時08分 (#3053530)

    無駄に二要素認証を強制しているサービスとか考え直してくれると嬉しいな

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...