isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
PR

2 要素 — SMS コードが脆弱な理由

2026 年 6 月 25 日 · 3 分で読みました · コメント

この記事にはアフィリエイトリンクが含まれています。それらを通じて購入すると、追加費用なしで手数料が発生する場合があります。

2 要素認証は、最も効果的なセキュリティ アップグレードの 1 つです。しかし、すべての 2 要素が同じというわけではありません。最も一般的なバージョン、つまりほとんどのサービスがデフォルトで使用するバージョンには、ほとんどの人が知らない、明確に文書化された特定の脆弱性があります。

2 要素認証は、知っているもの (パスワード) と持っているもの (通常はコード) を要求することで機能します。たとえ誰かがパスワードを盗んだとしても、2 番目の要素がなければログインできません。本当に良いですよ。問題は、「あなたが持っているもの」が何を意味するかです。

SMSコードの問題

SMS コードがあなたの電話番号に送信されます。あなたの電話番号は通信事業者によって管理されています。そして通信事業者は、時にはソーシャル エンジニアリングを通じて、時には従業員へのあからさまな贈収賄を通じて、ユーザーの番号を攻撃者が管理する SIM カードに転送するように操作される可能性があります。これをSIMスワップといいます。

あなたの番号が転送されると、「あなたの」電話に送信されたすべての SMS コードが攻撃者のデバイスに送信されます。あなたのパスワードと SMS ベースの 2 要素が彼らのものになります。重要な暗号通貨を所有する人々、経営者、ジャーナリストなど、価値の高いターゲットは、この方法で定期的に侵害されます。

2 要素法 - 相対強度
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
認証アプリ (TOTP)
Good
Real-time phishing (if attacker acts fast)
ハードウェアキー(パスキー)
Strong
鍵の物理的な盗難

代わりに何を使用するか

認証アプリはデバイス上で時間ベースのコードを生成します。これらは電話ネットワークを介して送信されません。SIM スワップがそれらを傍受することはできません。 Google Authenticator や Authy などのアプリはこのように動作します。 NordPass には認証システムも組み込まれているため、2FA コードとパスワードは同じ安全な保管庫に保存されます。

2 要素は最も弱い形式であっても持つ価値があります。 SMS 2FA は、2FA を使用しないよりもはるかに優れています。 But if you're going to use it, it takes about two minutes per account to upgrade from SMS to an authenticator app — and the gap in protection is significant.

よくある質問

What is credential stuffing?+

クレデンシャル スタッフィングとは、攻撃者が 1 回の侵害で公開された電子メールとパスワードの組み合わせを取得し、自動的に他のサービスに対して試行することです。パスワードを再利用すると、1 つのサイトが侵害されると、攻撃者は同じ資格情報を持つすべてのアカウントにアクセスできるようになります。

Is it safe to store all your passwords in one place?+

はい、信頼できるパスワード マネージャーを使用している場合は可能です。暗号化されたボールトは、再利用されたパスワードや弱いパスワードよりもはるかに安全です。 NordPass のようなパスワード マネージャーはゼロ知識アーキテクチャを使用しています。つまり、企業ですら保存されたパスワードを確認することはできません。

What is two-factor authentication and should I use it?+

2 要素認証 (2FA) では、パスワードに加えて 2 番目の検証手順 (通常はアプリからのコード) が必要です。 SIM スワップ攻撃に対して脆弱な SMS コードではなく、認証アプリ (Google Authenticator、Authy) を使用します。

パスワードと 2FA コードを 1 つの安全な保管庫に保管
NordPass はパスワードを保存し、認証コードを生成します。 1 つのアプリ、1 つのマスター パスワード、すべてがデバイス間で同期されます。
⭐ 4.5/5 · 数百万のパスワードを保護
Try NordPass →

Sam Feldman
Sam Feldman
「優れたバナーには決まった形式がなく、固有の意味もありません。」
Austin, TX · https://sams.blog/weekly
RELATED READING
誰も考えていないパスワードの大惨事
1 つのパスワードを再利用します。ハッカーたちはそれを頼りにしています。
パスワードマネージャー、一般の人向けに説明
あなたは、私が自分の両親のために構築した、実際に機能するまさに正確なセキュリティ設定を手に入れようとしています

ほとんどの人は 1 層の保護を持っています。彼らには3つ欠けています。

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

開始から終了まで 20 分、その後バックグラウンドで実行されます。メールアドレスを入力してください。送信します。

問題が発生しました - もう一度試してください。
もうすぐ受信箱をチェックしてください。
100%機密です。いつでも購読を解除してください。