Google、Gmailの認証方法からSMSを廃止し、QRコード方式へ移行

米、フォーブスの報道ではGoogleはGmailの認証方法からSMSを廃止し、QRコード方式へ移行を検討している事を発表しています。

Googleの新しい認証方式とは？

Googleは今後数カ月以内に、SMSコードを用いた認証を廃止し、QRコードを利用した新たな認証方式を導入 する計画を明らかにしました。

これにより、従来のようにSMSで送信される6桁の認証コードを手動で入力する必要がなくなり、より安全で直感的な認証方法へ移行できます。

具体的には、ユーザーが電話番号を入力する代わりに、QRコードが表示され、それをスマートフォンのカメラでスキャンすることで認証が完了する 仕組みです。

この方法には、大きく二つのメリットがあります。

1. フィッシング攻撃を防ぐ
   SMSコードを盗まれるリスクがなくなるため、攻撃者がコードを入力させる手口が通用しなくなります。

2. キャリアのセキュリティに依存しない
   QRコードを利用することで、携帯キャリアのネットワークを介さずに認証が完了し、SIMスワップ攻撃の脅威も排除できます。

GoogleのGmail担当者であるロス・リチェンドファー氏は、「SMSコードはユーザーにとってリスクが高い。新しい方法によって、攻撃のリスクを減らし、ユーザーの安全を確保することができる」と述べています。

導入時期と今後の展開

Googleは「今後数カ月以内に」段階的に適用すると発表しました。正確な導入時期は未定ですが、Googleアカウント全体への適用や、企業向けのGoogle Workspaceにも拡大される可能性があります。

この取り組みによって、二要素認証の安全性が飛躍的に向上し、より多くのユーザーが安心してGmailを利用できる環境が整うことが期待されます。

SMS認証が抱えるリスクとは？

アメリカ国立標準技術研究所（NIST：National Institute of Standards and Technology）は、2016年に発表した「デジタル認証ガイドライン（SP 800-63B）」において、SMSを用いた二要素認証の問題点を指摘し、推奨される認証方法から外す方針 を示しました。

SMS認証を外すべき理由

フィッシング攻撃の標的になりやすい

SMS認証は、詐欺サイトを用いたフィッシング攻撃によって、簡単にコードを盗まれる危険性があります。攻撃者はユーザーを偽のログインページに誘導し、そこに送られたコードを入力させることで不正アクセスを試みます。

SIMスワップ攻撃のリスクがある

SIMスワップ攻撃とは、攻撃者が携帯キャリアに成りすまし、ターゲットの電話番号を別のSIMカードに移行させる手口です。これにより、正規のユーザーが受け取るはずの認証コードが攻撃者の端末に送信され、アカウントが乗っ取られる可能性があります。

モバイルキャリアのセキュリティに依存する

SMSメッセージは、モバイルキャリアのネットワークを介して送信されますが、キャリアのセキュリティが万全でなければ、通信の傍受や改ざんが行われる可能性があります。

犯罪者による悪用が拡大

Googleによると、「トラフィックポンピング（Traffic Pumping）」と呼ばれる詐欺行為が近年急増しています。

これは、犯罪者が大量のSMSメッセージを特定の電話番号に送信させ、通信料金を不正に請求する手口です。こうした詐欺によって、多くのサービス提供者がSMS認証を廃止せざるを得ない状況に追い込まれています。

多要素認証は比較的効果的

SMSでの認証は廃止されますが、多要素アプリやQRコードなどの多要素認証は引き続き簡単にできるセキュリティ対策になります。

実際2024年5月にMicrosoft（マイクロソフト）の研究者が発表した論文によると、多要素認証(MFA)を利用する事によりセキュリティの侵害リスクを 99.22% 削減し、パスワードが漏洩した際のセキュリティリスクを 98.56% 削減することが示されました。

参照

Google Confirms Gmail To Ditch SMS Code Authentication