SMS認証からQRコード認証への移行
SMSによる認証はなぜダメか?
- SMSによる認証コードには多くのセキュリティ上の問題点があります
- 電話番号を入力するため、それを盗み取るフィッシング詐欺の標的になりやすいです
- キャリアのセキュリティ対策に依存しています。
- 「トラフィックポンピング(※)」などの詐欺に悪用されています
- デバイスを紛失した場合にアクセスが困難になります
※ 自社で契約している電話番号へSMSメッセージを大量に送信することで、認証サービスを提供している事業者(ここではGoogle)が契約している通信事業者から不正に報酬を得ようとするもの
Googleの新しいアプローチ
- 今後数ヶ月でGmailの電話番号認証方法が変更されます
- 6桁のSMSコードの代わりにQRコードが表示されます
- ユーザーはスマートフォンのカメラでQRコードをスキャンします
QRコード認証のメリット
フィッシング詐欺のリスクが軽減します
ユーザが電話番号などの個人情報を入力する必要がないため、詐欺師にそれらの情報を渡すリスクが減少します
キャリア依存からの脱却
- 電話会社のセキュリティ対策に頼る必要がなくなります
- 不正アクセスからユーザーを保護できます
認証技術の進化
- パスワードからパスキー(指紋などの生体認証を用いたログイン方法)への移行と同様の流れがあります
- より安全な生体認証アプローチへのシフト
- アプリを使わない二要素認証の普及
まとめ
- SMS認証コードは「ユーザーにとってリスクの高い要素」です
- QRコード認証への移行で攻撃者や詐欺師の侵入経路を減少
- 悪意のある活動からユーザーをより安全に保護します
- 正確な実施時期は未定ですが、近い将来に導入予定
クマひよ工房のセキュリティ運用・保守サービスでは、EC-CUBEを使ったECサイトや、wordpressをはじめ、様々なwebサイトを上記のような認証方法に起因する
セキュリティリスクを軽減するご提案を差し上げ、実装いたします。
お客様の個人情報やクレジットカードなどの大切な資産を守ることで、信頼を築き、長く安心してサービスを運用頂くためのお手伝いをさせて頂きます。
お気軽にご相談くださいませ。