「SMSは二要素認証には使うべきではない」米CISAがモバイルユーザー向けガイダンスを公開

　米サイバーセキュリティ・インフラセキュリティ庁（CISA）が公開したモバイル通信のベストプラクティスガイダンスの中で、SMSによる二要素認証を使わないよう警鐘を鳴らしている。

　これは、中国系ハッカーを含む悪意のあるサイバー攻撃者からモバイル通信を保護するためのガイダンスに盛り込まれているもの。この中ではエンドツーエンド暗号化（E2EE）通信の利用、FIDO認証の有効化、パスワードマネージャーの使用など8つの項目が推奨されているのだが、その1つとして注目が集まっているのが、SMSベースの二要素認証を非推奨としている点。理由はSMSメッセージが暗号化されておらず、通信事業者のネットワークにアクセス可能な第三者から容易に傍受される可能性があるためで、代わって認証アプリやFIDO認証を利用するよう呼び掛けている。また、iPhone特有の推奨事項でも、iMessageが利用できない場合にSMSでメッセージを送信する設定を無効化するよう促すなど、全体的にSMSの利用を排除する方針が強調されている。SMSによる二要素認証を導入している事業者は少なくないことから、こうした方針は今後に大きく影響を与えそうだ。ちなみにAndroidについては、Googleメッセージを使用していればE2EEが有効になることから、利用は問題ないとの見解が示されている。

• Mobile Communications Best Practice Guidance（CISA）
  https://www.cisa.gov/resources-tools/resources/mobile-communications-best-practice-guidance