まだSMSが安全だと思ってる人も居るん…
@zundan ひょっととして、SMSの2FAやるぐらいなら、2FAしないほうがいいところまで安全性がなくなってるんですか?
@taiyo そこまで脆弱化しているとは思いませんが、アメリカでは携帯電話番号は携帯電話会社にソーシャルエンジニアリングを仕掛けることで窃取できることが知られていますので、ソーシャルエンジニアリングの手間をかける価値のあるアカウントについてはSMS認証は無意味と思っていいのではないかと思います。
@zundan 番号を奪取できたとして、SMSを盗み見ることができるんですか?
@taiyo 攻撃者の手元の携帯電話を被害者の携帯電話番号にすれば、サービスから送られる認証コードが攻撃者の手元に届くんだと思います。
@zundan かなりハードルが高いように思いますが(携帯オペレーターは複数の番号を検知できますよね)、一般的なんでしょうか。
@taiyo 携帯電話会社としては、端末を紛失した顧客のために新しくSIMカードを発行して既存の電話番号を紐付けるような操作をするのだろうと思います。
何年か前に、Twitterのアカウントを窃取された方が、複数のサービスにソーシャルエンジニアリングをしかけられたという経緯を公開しておられて、攻撃の手順のひとつにSMSでの二段階認証の窃取があったと記憶しています。
@zundan ああなるほど、新しいSIMを作らせてしまうんですね。
しかしその瞬間から前のSIMは動かなくなるので、かなり計画的に盗み読む必要がありますね。旅行で別のSIMを挿してるタイミングを使うとか、いろいろ方法はありそうです。