多くのビジネス向けテキストメッセージングサービスがセキュリティを強化していることは間違いありませんが、攻撃者がこの種の変更を実際の番号所有者に確認していないサービスを見つけるだけで、受信テキストメッセージは完全に遮断されてしまいます。これは、未知のデバイスでアカウントにログインする際に本人確認に使用する認証コードにも当てはまります。

これまでも申し上げてきましたが、すべてのサイトやサービスが耳を傾けるまで、私たちは言い続けます。不正アクセスからアカウントを守るには、テキストメッセージや2段階認証を使用するだけでは十分ではありません。可能な限り、アカウントのログインプロセスを完了するために、ハードウェア（通常はスマートフォン）への物理的なアクセスを必要とする専用の2段階認証アプリを使用する必要があります。テキストメッセージは、あなたが思っているほど安全ではありません。あなた自身がテキストハイジャックの被害に遭うことはないでしょうが、今週のニュースは、それが決して不可能ではないことを示しています。

誰かがあなたのスマートフォン本体を手に入れ、あなたが導入しているセキュリティメカニズム（タッチ認証や顔認証）を回避してロックを解除する方法を見つけ、特定の2FAアプリに設定した二次セキュリティ（PINなど）を突破して、それを使ってあなたのアカウントに侵入する可能性ははるかに低くなります。その頃には、彼らはもう諦めているか、あなたが2FAをリセットして重要なアカウント用の新しいデバイスに設定し、古いコードを完全に無効にしているでしょう。

あなたの電話番号宛てのテキストメッセージが他のサービスにルーティングされているかどうか、あるいはいつルーティングされているかを知らせてくれる監視ツールに登録する必要はないはずです。（完全開示：前述のMediumライターは、そうした企業の一つであるOkeyの最高情報責任者です。）しかし、ログインコードを送信するためにテキストメッセージのみを使用しているサービスは今でもたくさんあるので、登録しておくのも良いかもしれません。

医療機関、ゲームサイト、その他のサイトで二要素認証が利用できず、二段階認証しか利用できない場合、できることはほとんどありません。強力で固有のパスワードを設定し、優れたパスワード管理アプリでロックして、万全の対策を講じましょう。また、セキュリティ質問には分かりやすい答えは使用しないでください。セキュリティ質問も「パスワード」であり、他のパスワードと同様に管理する必要があります。

最後に、 2段階認証しか使えない場合は、絶対に使用しないでください。100%安全ではありませんが、有効にして、アカウントに侵入するために面倒な手続きを踏ませる方がはるかに安全です。ログインIDとパスワードの組み合わせだけに頼らず、少しでもセキュリティを高められるのであれば、セキュリティ対策に力を入れましょう。

もっと極端な方法もあります。例えば、実際の電話番号とは全く関連付けられていないログインコード専用の番号を使うといったものです。（Google Voiceが思い浮かびます。受信したテキストメッセージをメールで送信するように設定し、2段階認証でGoogleアカウントをロックダウンできます。）それでも、誰かがその番号をランダムに乗っ取るのを阻止できるわけではありませんが、少なくとも標的型攻撃から身を守るのに役立ちます。まあ、より安全です。セキュリティって楽しいですよね？

次の記事へスクロールしてください