ニュース 2021.04.02 Twitterが、SIMハイジャック対策にも有効なセキュリティー対策追加

2019年、同社CEOのJack Dorsey氏のアカウントがハッカーによる不正アクセスをうけ、乗っ取られる事案が発生しているが、このときの原因は、SIMスワップ攻撃（SIMハイジャック）によるものだった。

SIMスワップ攻撃は、2要素認証を突破しようとするハッカーが、通信事業者を騙したり、買収するなどして、ユーザーの携帯電話番号をハッカーのSIMに移動させてしまう行為。

電話番号を移動させたあと、認証コードを傍受することで、アカウントにログインする。

セキュリティーキーを複数登録しておくことができれば、ハッカーによるこうした情報操作を防ぐことにもなり、より安全になるだろう。

SIMスワップ攻撃は、現在増加傾向にあるという。

Twitterは、2020年12月、モバイルアプリには、セキュリティキーによる2要素認証を導入している。しかし、登録できるセキュリティキーは1つのみだった。キーが1つのみでは、そのキーを紛失する、忘れるなどした際にログインが出来なくなるリスクもある。

また、万が一、たった一つのキーがハッカーの手に渡れば、SIMジャックされた時点で情報は守れなくなる。

今後は、2要素認証に複数のセキュリティキーを登録できるが、その際、注意点として、認証方法に電話やテキストのみを設定しておくのは危険だということは覚えておくとよい。

SIMジャックに備えるには、携帯電話に紐づかない「認証アプリ」「ハードウェアトークン」などの認証方法を使うことが推奨される。

【関連リンク】

・Twitter、複数の物理セキュリティキーを登録可能に（CNET Japan）
https://japan.cnet.com/article/35167850/

TEXT：セキュリティ通信 編集部
PHOTO：iStock