Gmail認証におけるSMSからQRコードへの流れ
グーグルの二要素認証アプリ、グーグルプロンプト、パスキーなど、より安全な認証方法をすでにGmailアカウントで使用している場合、この最新の発表を気にする必要はない。すでに攻撃者をアカウントから遠ざける最も効果の低い方法から移行しているからだ。それ以外のユーザーは、アップデートに対する怠慢や無知からか、依然として多くの人がSMSに頼っている状況だ。以下を読み進めてほしい。いずれにせよ、今すぐ前述の認証方法に変更することを勧める。
「今後数カ月で、電話番号の認証方法を見直します」とリッチェンドルファーは語った。「具体的には、電話番号を入力して6桁のコードを受け取る代わりに、QRコードが表示され、それを携帯電話のカメラアプリでスキャンすることが必要になります」
筆者はQRコードの熱心な支持者ではないが、これはグーグルとGmailユーザーにとって重要なセキュリティの進歩である。
グーグルによると、認証にQRコードを使用する利点は3つある。
1. Gmailユーザーがセキュリティコードを脅威者に共有するよう仕向けられるフィッシングリスクの低減。そもそも共有するコードがないため、これは明白
2. ほとんどの場合、グーグルユーザーが通信事業者に依存せずに悪用防止策を講じられる
3. 世界中で横行するSMS悪用の影響を軽減する
「SMSコードはユーザーにとって高いリスクの源です」とリッチェンドルファーは結論づけた。「攻撃者の攻撃対象を減らし、ユーザーを悪意ある活動から守るための革新的な新手法を導入できることを嬉しく思います」「近日中のさらなる情報にご期待ください」と興味深い言葉で締めくくったが、GoogleアカウントやGmailユーザー向けの変更実施の具体的な日付は示されておらず、誰もが一刻も早い実現を望むところだ。
SMS認証をQRコードに置き換えることに対する専門家の見解
「グーグルが時代に合わせて、既知の脆弱性と悪用されやすさからSMS多要素認証を廃止するのは良いことです」とAbnormal Securityの最高情報責任者マイク・ブリットンは述べた。「ただし、QRコードはより安全な代替手段ではありますが、多要素認証を使う攻撃に対してリスクがゼロというわけではありません」
ブリットンによれば、Abnormal Securityの脅威分析では、QRコードが「多要素認証活動の偽通知で最も頻繁に使用されている」ものであり、同社が観察した全QR攻撃の約27%を占めているという。
ブリットンが警告するように、問題はQRコードが比較的新しい攻撃手段であるため、「他のフィッシング手法で慣れ親しんだ疑いの目」がまだ浸透していない点だ。これは脅威者にとって有利な状況である。
Googleアカウント(Gmailを含む)やその他のものについて、ブリットンは「認証情報を積極的に求める組織には疑問を持ち、オンラインで機密情報を提供することは避け、メールで送られてくるリンクには注意が必要です」と強調する。
