2FAと再利用された電話番号はセキュリティリスクです

二要素認証は、セキュリティの向上につながるはずです。その追加のステップは、スパマーがあなたのアカウントに侵入するのを防ぐためのものです。彼らは一つのアクセスポイントを学ぶだけで済みますが、彼らがほとんど知らないであろう追加のステップを踏む必要があります。しかし、研究者たちは、2FAが再利用された電話番号によってセキュリティリスクを引き起こす可能性があることを発見しました。

再利用された電話番号が2FAアカウントを暴露する

人々は引っ越しや携帯キャリアの変更などの理由で、時々電話番号を変更します。しかし、未使用の電話番号の供給は無限ではありません。このため、廃棄された電話番号はしばしば再利用されます。新しい番号を取得したときに、その番号に以前接続されていた人への電話が殺到することで、これに気づくかもしれません。

それ以上のことに悩まされるかもしれません。その番号が以前2FAに関連付けられていた場合、アカウントからの情報はセキュリティリスクにさらされます。今やアクセスに必要なのは、二つの要素ではなく、電話番号だけです。

プリンストン大学の研究者たちは、2FAと再利用された電話番号に関連するセキュリティリスクを発見しました。研究者がサンプリングした250以上の電話番号のうち、17は人気のあるウェブサイトのアカウントに接続されていました。サンプリングされた番号は、二つの主要なキャリアで利用可能でした。

「さらに、利用可能な番号の大多数は、以前の所有者に関する個人を特定できる情報を提供する人検索サービスにヒットしました。さらに、259の番号のうち100の番号は、ウェブ上で漏洩したログイン資格情報にリンクされており、SMSベースの多要素認証を無効にするアカウントの乗っ取りを可能にする可能性があります」と研究者たちは研究で詳述しました。

「また、キャリアのオンラインインターフェースや番号再利用ポリシーに設計上の弱点が見つかり、番号再利用に関する攻撃を助長する可能性があります。」

電話番号の新しい所有者は、認証パスコードなどのセキュリティおよびプライバシー関連の電話やメッセージを受け取ることになります。プリンストンの研究者たちは、新しい所有者がこれらの新しい番号に接続されているアカウントを悪用するインセンティブを持つ可能性があると考えています。

セキュリティリスクを制限する

2FAに一度接続されていたアカウントのセキュリティリスクを制限するために、電話番号を変更する際に何ができるでしょうか？2FAで保護されたすべてのアカウントを追跡するのは悪夢です。

プリンストンの研究者たちは、新しい番号に切り替えるときに古い番号を「駐車」するべきだと考えています。これは、駐車サービス、モバイル仮想ネットワークオペレーター（MVNO）、またはVOIPプロバイダーを利用して行うことができます。これにより、古いアカウントの2FA設定を更新するための時間を確保できます。

この懸念に関わらず、2FAは依然として重要なセキュリティ手段であることを知っておいてください。Twitter以外のさまざまなソーシャルネットワークで2FAを設定する方法については、読み進めてください。Twitterはもはや2FAに電話番号を必要としません。