スマートフォンハッキング会社Cellebriteがハッキング被害に

iOS 12のセキュリティコード自動入力機能は、iPhoneやiPadがサイトやサービスにログインする際にセキュリティコードを自動入力する機能だが、研究者のアンドレアス・ガットマン氏によると、潜在的な脅威となっている。同氏は、この機能は、脅威を検知し、ユーザーを騙して個人情報を入力させる可能性のある人間の介入を回避するために利用される可能性があると指摘する。

セキュリティコードの自動入力により、エンドユーザーの2ファクタ認証プロセスが簡素化されます。サイトやサービスにログインする際に、認証コードが記載されたテキストメッセージが送信される場合、iOS 12ではこの操作を自動化できます。iOS 11では、ユーザーはコードを確認するためにメッセージアプリに切り替え、その後、入力が必要なアプリに戻る必要がありました。

利便性は素晴らしいが、ガットマン氏はそれが銀行詐欺につながる可能性があると考えている。彼はこう述べた。

このiOSの新機能は、SMSによる取引認証に問題を引き起こします。2FAに適用すると、ユーザーはSMSを開いて読む必要がなくなります。SMSから既にコードが抽出・提示されているためです。コードは、2FAコードやTANを送信するメッセージで使用される「コード」や「パスコード」といった単語との近接性などのヒューリスティックに基づいてメッセージ内で検出されます。入力フィールドに適切なタグが付けられている場合、Webページやアプリでセキュリティコードの自動入力が提案されます。

それは正当な懸念ですが、エンドユーザーが自動入力プロセスに関与しないという解釈は完全には正しくありません。ユーザーにはテキストメッセージから取得したコードを示すポップアップが表示され、ログインを完了するにはそれをタップする必要があります。誰かが反射的にコードをタップしてしまう可能性はありますが、それはiOS 11でコードを見て入力するのとそれほど変わりません。

より大きな問題は、テキストメッセージは二要素認証のプラットフォームとしてそれほど安全ではないということです。ログインプロセスを完了するには、2つの要素、つまり「あなたが持っているもの」と「あなたが知っているもの」が必要です。テキストメッセージのコードはあなたが持っているものであり、パスワードはあなたが知っているものです。

iPhone、iPad、iPod touch、Mac にコードが記載されたテキストメッセージが表示されると、画面を見られる人なら誰でも簡単にコードを入手できてしまいます。誰かがあなたの Mac で銀行口座にログインしようとした時、本来ならログインを阻止するはずの 2 段階認証コードが同じ画面に表示されたらどうなるでしょうか。

テキストメッセージによる二要素認証は利便性を重視したものですが、ログイン時にパスワードのみを使用するよりも、少なくとも多少のセキュリティ強化は可能です。ガットマン氏の懸念の根底にある重要なメッセージは、サイトやサービスにログインする際には、意図せず他人にアカウントへのアクセスを与えてしまうことのないよう、注意を払う必要があるということです。