SMSを使った二要素認証、Googleが廃止へ--なぜ？ 「実は安全ではない」が業界の常識

　Gmailの二要素認証がまもなく大きく変わる。GoogleはSMSで認証コードを送付する方式を廃止し、パスキーやQRコードに切り替える方針だ。

James Martin/CNET
※クリックすると拡大画像が見られます

　このニュースはForbesが最初に報じた。

　SMSによる二要素認証は悪用されるケースが報告されている。Google セキュリティ・プライバシー広報担当のロス・リッチェンドルファー氏はCNETの取材に対し、「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた。

　Googleは今後数カ月以内に電話番号認証の方法を一新する予定だ。Gmailやその他のGoogleサービスは、SMSで6桁のコードを送る方式から、ユーザーが手元の端末でスキャンできるQRコードを表示する方式に変わる。

　この変更は、ユーザーが詐欺師にSMSコードを教えてしまうリスクをなくし、通信事業者が侵入経路となる可能性を排除するためだ。また、Googleによれば、一部の犯罪者は「トラフィックポンピング」と呼ばれる手法でSMSを悪用し、送信数に応じた報酬を得ているという。

　リッチェンドルファー氏は、QRコードの導入によりフィッシングのリスクが軽減され、世界中でのSMS乱用が抑えられ、ユーザーが通信事業者に依存しなくなると述べた。また、「SMSコードはユーザーにとってリスクとなる。攻撃対象を減らし、悪意ある行為から守る革新的な手法を導入できることを嬉しく思う」とも語った。

　なお、Gmailはログイン確認のためにGmailアプリを利用する方法や、Google Authenticatorといった独自のセキュリティツールも採用している。

●SMSは「ないよりはあった方が良いが、最も好ましくない二要素認証」

　SMS認証からの脱却はGoogleだけの動きではない。Evernoteは2024年にSMS認証を廃止し、メッセージングアプリのSignalも2022年に同様の措置をとった。X、Apple、MicrosoftもユーザーをSMSから移行させている。実は、Googleは2017年頃からSMS依存からの脱却を示唆していた。

　専門家は、この流れが予想内であり、Googleにとって必要な措置だと評価している。McAfeeのエイミー・バン氏は、「GoogleがSMSベースのログインから脱却するのは、セキュリティ向上のための賢明な決断だ。最初は不便に感じるかもしれないが、より強固な保護のためには必要なステップだ」と語った。

　バン氏はさらに、「サイバー犯罪者はSIMスワッピングで電話番号を乗っ取り、セキュリティコードを傍受し、場合によってはアカウントから締め出すことも可能だ」と指摘する。だからこそ、Googleを含む多くの企業がパスキーや認証アプリといった、より安全なログイン手法に移行している。

　セキュリティ企業ThreatLockerの最高製品責任者 ロブ・アレン氏は、SMSによる二要素認証は「無いよりはあった方が良いが、最も好ましくない方法だ」とし、モバイル端末の認証アプリを使う方がはるかに安全だと強調する。「企業がより安全な環境に向かって進むのを見るのは心強い」と彼は締めくくった。