認証のためにテキストメッセージであるSMSをセキュリティコードとして使うことが理想的でないのは、よく知られている事実だ。テック業界がパスワードから、より安全な生体認証を用いたパスキーへと移行しつつあるように、近年ではコード生成アプリやアプリ不要の二要素認証が標準となりつつある。
それでも、SMSを利用した認証がないよりはマシだと言われてきたし、その点に反論するのは難しい。そんな中、グーグルの内部関係者との特別なやりとりを通じて、Gmailが認証におけるSMSコードを廃止する方針であることが明らかになった。以下にその詳細を示す。
Gmail広報担当者「認証のためのSMS送信から脱却したい」
「パスキーのような手段でパスワードから脱却したいのと同じように、認証のためのSMS送信からも脱却したいと考えています」と、Gmailの広報担当者ロス・リッチェンドルファーは語った。こうして始まったグーグルとのメールでのやりとりで、認証に用いるSMSコードが廃止され、「世界中で横行するSMS悪用の影響を抑える」ためにQRコードに置き換えられることが初めて明らかになった。
グーグルは現在、SMS認証を主に2つの目的で使用している。セキュリティと悪用防止である。前者についてリッチェンドルファーは「以前と同じユーザーであることを確認するため」と説明し、後者は詐欺師がグーグルのサービスを悪用するのを防ぐ目的だと述べた。グーグルが挙げた例では、犯罪者がスパムやマルウェアを拡散するために何千ものGmailアカウントを作成するケースがある。
なぜGmailでSMSコードを廃止したいのか
リッチェンドルファーとグーグルの同僚キンバリー・サムラによると、SMSコードには複数のセキュリティ上の課題がある。
フィッシングで盗まれる可能性がある点、コードが送信されるデバイスに常にアクセスできるとは限らない点、そしてユーザーの通信事業者のセキュリティ対策に依存している点だ。リッチェンドルファーは「詐欺師が通信事業者を簡単に騙して電話番号を入手できれば、SMSのセキュリティ価値はなくなってしまいます」という。
さらに、SMS認証コードは犯罪行為の中心的手口として悪用されることも多い。グーグルがここ数年注視している比較的新しい詐欺として、「トラフィックポンピング」がある。これは人工的通信量拡大とかトール詐欺などとも呼ばれる手法で、リッチェンドルファーとサムラによれば「詐欺師がオンラインサービス事業者に、自分たちが管理する番号へ大量のSMSを送信させ、1通ごとに支払いを受け取る」というものだ。
