最近の研究によると、オンラインサービスにおけるSMS認証リンクの利用増加により、何百万人もの人々が危険にさらされています。研究者たちは、ログインプロセスを簡素化するために設計されたこれらのリンクが、ユーザーを詐欺、個人情報の盗難、その他の犯罪に対して脆弱にしていることを発見しました。

先週発表されたこの研究では、175以上のサービスに代わってそのようなテキストを配信する700以上のエンドポイントが特定されました。保険の見積もりプロバイダーから求人情報サイト、ペットシッターや家庭教師の紹介プラットフォームまで、これらのサービスは、従来のユーザー名とパスワードシステムの複雑さを回避するために、SMS認証への依存度を高めています。代わりに、ユーザーはサインアップ時に携帯電話番号を提供し、ログイン時に認証リンクまたはパスコードをテキストメッセージで受信します。

この研究で特定された主要な脆弱性は、容易に列挙可能なリンクの使用です。これは、詐欺師がセキュリティトークン（通常はURLの末尾にある文字列）を単純に変更するだけで、有効なリンクを推測できる可能性があることを意味します。悪意のある者は、これらのトークンを体系的に変更することにより、ユーザーアカウントへの不正アクセスを取得できます。

「これらのリンクが容易に操作できることは、ユーザーのプライバシーとセキュリティに対する重大な脅威となります」と、研究の筆頭著者は述べています。「サービスは、潜在的な危害からユーザーを保護するために、より堅牢な認証方法を採用する必要があります。」

SMSベースの認証への依存は、その利便性が認識されているため、近年増加しています。しかし、セキュリティ専門家は、この方法に関連する固有のリスクについて長年警告してきました。SMSメッセージは暗号化されておらず、悪意のある者によって傍受される可能性があります。さらに、電話番号は詐称される可能性があり、攻撃者は正当なサービスを装って不正なリンクを送信できます。

この研究の結果は、オンラインサービスが認証方法を再評価し、認証アプリやハードウェアセキュリティキーを使用した多要素認証など、より安全な代替手段を採用する必要があることを強調しています。消費者はまた、テキストメッセージで受信したリンクをクリックする際には注意し、個人情報を入力する前に送信者の正当性を確認するようにアドバイスされています。