Twitterは米国時間11月21日、ユーザーがようやく電話番号なしで2要素認証(2FA)を有効にできるようになると発表した。モバイルのワンタイムパスワード(OTP)認証アプリやハードウェアのセキュリティキーなど別の方法のみを使えるようになるという。
これまでユーザーがTwitterアカウントで2FAを使いたい場合は、電話番号を登録してSMSベースの2FA設定を有効にする必要があった。
OTPのモバイル認証アプリやハードウェアのセキュリティキーを使いたいユーザーは、最初にSMSベースの2FAを有効にする必要があり、これを無効にすることはできなかった。
セキュリティキーを使うことにした場合も、SMSベースの2FA設定は有効で、アカウントはSIMスワップと呼ばれる攻撃のリスクにさらされていた。
ユーザーのパスワードを手に入れたハッカーは、SIMスワップによってユーザーの電話番号を一時的に奪い取り、SMSベースの2FAをすり抜けて、そのユーザーのアカウントを乗っ取ることが可能になっていた。
8月には、Twitterの最高経営責任者(CEO)であるJack Dorsey氏のアカウントがハッキングされるという事態も発生している。
Twitterは21日にこの機能について発表したが、1週間ほどテストが実施されていたようだ。ユーザーが週末に見つけていた。
Twitter now, finally, lets you enable multi-factor authentication without requiring that SMS codes be an option! #victories
— Eric Mill (@konklone) 2019年11月16日
If you feel even remotely at risk of account takeover, use an authenticator app and/or a security key, and disable SMS as an account option. pic.twitter.com/ZnR9nCZYJ3
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス