二要素認証を突破されたreddit

• Shingo Takahashi


• 2018/08/03

昨今、単純にIDとパスワードを入力するだけのログイン認証などは危険性が高いため、二要素（二段階）認証（Two-factor authentication：2FA）を用いるサービスが増えています。

しかし、これにおいても問題が起きた事例があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素（二段階）認証（Two-Factor Authentication：2FA）における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS（ショートメッセージサービス）を使った二要素（二段階）認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか？

二要素認証を突破されないために

まずは二要素（二段階）認証の主な種類を見ていきましょう。

１．SMS（ショートメッセージサービス）を使うケース

２．E-mailを使うケース

３．電話を使うケース

４．ハードウェアトークンを使うケース

５．ソフトウェアトークンを使うケース

この中で、４と５のトークンを使った二要素（二段階）認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。