詐欺師は通信事業者を騙してあなたの携帯電話のSIMカードを乗っ取ることができます。そして、あなたのSIMカードを無効化し、すべてのサービスを自社のサービスに移行することで、あなたの番号に送信されたすべてのSMSコードにリモートアクセスできるようになります。例えば、あなたの銀行口座がSMSベースの2FAで保護されている場合、詐欺師は自分のデバイスでコードを受信し、認証してあなたのアカウントに侵入します。中には、トラフィックポンピングと呼ばれる手法を用いる詐欺師もいます。これは、組織を騙して詐欺師が所有する電話番号に大量のSMSメッセージを送信させるものです。彼らはこれらのメッセージから利益を得ている一方で、私たちは大量のスパムメールに悩まされています。GoogleはSMSベースの2FAを廃止することで、このような詐欺行為を抑制したいと考えています。

SMSベースの認証に頼る代わりに、専用の認証アプリ、またはGoogle自身が積極的に推奨しているパスワード不要のPasskeysシステムの使用を推奨しています。認証アプリを使用すると、携帯通信会社ではなくユーザーが管理する安全なサービス上で、30秒ごとにコードが生成されます。認証アプリ自体も生体認証を必要とし、パスワードで保護することもできるため、セキュリティがさらに強化されます。認証のセキュリティを最大限に高めるには物理キーを使用することもできますが、適切に設定された認証アプリでも十分なセキュリティを確保できます。

パスワードを完全にやめたいなら、パスキーを使うとさらに安全です。パスキーはログインごとに暗号化されて生成されるキーで、デバイスまたはパスワードアプリごとに固有のものです。MacでGoogle用に生成されたパスキーは、デバイスから外部に送信されることはありません。たとえ誰かがキーファイルを入手したとしても、暗号化されているためハッキングされることはありません。

Googleはデフォルトの2FAをQRコードに移行している

パスキーは将来的なものです。しかし、当面の間、Google は電話番号のデフォルトの認証方法として QR コードに移行しています。

ユーザーが新しいデバイスでログインする際、スマートフォンでスキャンして認証できるQRコードが表示されます。QRコード認証を使用すると、コードを共有する必要がないため、フィッシング攻撃を阻止できます。また、QRコードのスキャンは近接した2つのデバイス間で直接行われるため、キャリアコードやオンラインサーバーは不要です。

Googleは「近い将来、この件について詳細をお知らせします」とだけ述べているため、現時点では具体的なスケジュールは発表されていません。この機能が展開され次第、ここで詳細をお伝えします。

次の記事へスクロールしてください