米国のサイバーセキュリティーを担当する政府機関は10日までに、ショートメッセージサービス(SMS)を使った認証について「外部から傍受される恐れがあり、強力な認証にならない」と注意喚起する声明を公表した。認証アプリなどの利用を推奨している。X(旧ツイッター)や日本のデジタル庁もSMS認証を廃止しており、見直しの動きが広がる可能性がある。
CISAは「SMSは暗号化されていないため、通信事業者のネットワークにアクセスできる攻撃者により傍受され、メッセージを読み取られることがある」と指摘する。SMS認証を使うユーザーに対し、米グーグルや米マイクロソフトなどの認証アプリに変えるよう求めた。
安全な通信手段として、米アップルの対話アプリ「iMessage(アイメッセージ)」といった「E2EE(エンドツーエンド暗号化)」と呼ばれる秘匿性の高いサービスを提示した。偽メールやSMSで認証情報を盗み取るフィッシング攻撃を防ぐため、テック大手が推進する生体認証などの「FIDO(ファイド)」を使うよう推奨している。
SMS認証を巡っては、フィッシングによる「スミッシング」が20年ごろから増えている。契約者になりすまして再発行したSIMカードを使ってスマホを乗っ取る「SIMスワップ」という手口も横行しており、国内でも23年に愛知県警や警視庁が容疑者を摘発している。