最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆まだまだ続く架空請求SMS、消費者庁が注意呼びかけ(2018/07/03) | メイン | ◆「簡単に稼げる」「返金保証」の情報商材にご用心、消費者庁と都が注意喚起(2018/07/09) »

2018/07/06

◆本人確認に使われるSMS認証に注意、「なりすまし」被害のおそれ(2018/07/06)

 携帯電話番号あてに届くSMSを、本人確認の手段に使用しているサービスは多い。本人しか持っていない持ち物で認証する方式だが、油断していると第三者に勝手に認証されかねないので注意したい。

 SMS(ショートメッセージ、ショートメールなどとも)は、携帯電話やスマートフォンの電話番号あてに短文を送るサービスのこと。携帯事業者間で送受信が可能になった2011年以降、国内でも利用されることが多くなった。ネットサービスとの連携では、パスワードだけではログインできないようにする2段階認証(多要素認証)や、パスワード等を忘れてしまった際のリカバリー、決済やアプリの連携など、重要な処理を実行する様々な場面で、本人確認に使われている。

 SMSで送った4~8数桁の数字を入力させることで、端末を持っている本人であることを確認する仕組みだ。SMSで届く数字は、その都度異なり、一定時間が経過すると無効になるが、時間内であれば誰が使っても認証することができ、サービスによっては時間内に繰り返し使えることもある。第三者の手に渡ってしまうと、かなり困ったことになることは容易に想像できるだろう。

■スマートフォンの通知に注意

 スマートフォンには、アプリからの通知を画面に表示する機能があり、設定によっては、SMSで届いた数字を画面に表示してしまうことがある。ロック画面に表示するようになっていると、盗み見されるおそれがある。通知は、スマホ全体と個々のアプリごとに表示するかしないか、内容をプレビューするかを設定することができる。

 iPhoneなどのiOS端末の場合は、[設定]→[通知]と進み、[プレビューを表示]で、プレビューを常に表示する、ロックされていない時だけ表示する、表示しない、の全体設定が行える。このプレビューを表示しなければ、SMSに届いた数字は画面に表示されない。個々のアプリの通知スタイルでは、通知を表示するかしないか、ロック画面に表示するかしないか、プレビューをどうするかをアプリごとに設定できる。SMSに限定するなら、メッセージアプリの設定を変えればよい。

 Android端末は、メーカーや機種によって操作が異なるが、[設定]の[アプリと通知]などから、ロック画面の通知を表示、非表示、プライベートな内容は非表示が設定できる。SMSに届いた数字は、このプライベートな内容に該当する。個々のアプリの情報からアプリの通知」に進むと、アプリごとの通知の表示/非表示、ロック画面の表示/非表示、プライベートな内容の表示設定が個別に行える。SMSに限定するなら、メッセージアプリなどのSMSを処理しているアプリの設定を変えればよい。

■SIMカードの悪用に注意

 画面をロックしておくと、第三者に端末を勝手に操作されないようにすることができる。ただし、電話番号などの加入者情報が入っているSIM(Subscriber Identity Module)を抜かれて他の端末で使用されると、機種変更したのと同じように回線がそっくり別の端末に移動していまい、電話やSMS、データ通信が勝手に使われてしまう。SIMを挿せば電話番号が分かり、電話番号あてに届くSMSを受け取ることができるようになってしまう。端末本体をロックしていても、勝手に回線を使われてしまう可能性があるのだ。

 このようなSIMの無断使用を防ぐために、SIMカード自体に暗証番号を設定しておく機能がある。この機能を有効にすると、SIMの抜挿や端末の再起動時にSIMカードがロックされ、正しい暗証番号を入力して解除するまで回線は利用できない。注意しなければいけないのは、暗証番号を3回間違えると、その暗証番号ではロックが解除できなくなる点だ。こうなると、UPKコード、PINロック解除コードなどと呼ばれる別の暗証番号を使って、設定した暗証番号を解除しなければならない。さらにUPKコードも間違えてしまうと、回線が完全にロックされ、自力では解除できなくなる。

 SIMカードのロックは、iPhoneなどのiOS端末では「SIM PIN」と呼び、[設定]→[電話]→[SIM PIN]で設定や変更を行う。Android端末は、メーカーや機種によって操作が異なるがが「SIMカードロック」などと読んでおり、[設定]から[セキュリティ]や[ロック画面とセキュリティ]に進むとこの項目がある。

 なお、各社のSIMには、あらかじめ暗証番号が初期設定されていることが多いので、設定する際には、契約書やマニュアル、ホームページなどで初期値(0000、9999、1234など)を確認しておく。初期値が設定されているSIMは、これを変更してロックを有効化するわけだが、3回までの誤入力にカウントされるので注意していただきたい。

■電話番号の登録解除に注意

 何かの事情で電話番号を手放した場合には、サービスに登録していた電話番号の削除を忘れずに行っておく。使われなくなった電話番号は、早晩誰かの手に渡り再利用されることになるので、その番号を取得した第三者に不正ログインされたり、アカウントを乗っ取られたりしてしまうかも知れない。

 特定のアカウントに登録済みの電話番号の扱いはサービスによって異なり、別のアカウントには登録できないサービスもあれば、登録可能なサービスもある。登録できるサービスの場合も登録した場合の挙動は様々で、登録済みの電話番号が無効化されるだけならよいのだが、登録されると電話番号でログインできなくなったり、自分のアカウントが利用できなくなったりしてしまうサービスもある。電話番号に限らず、サービスに登録した情報は、常に最新のものに更新しておきたい。

(2018/07/06 ネットセキュリティニュース)

投稿情報: 14:20 |

|