犯罪インフラ化する「SMS認証代行」、警察庁での対策を発表
警察庁は4月22日、犯罪インフラ化するSMS認証代行への対策について発表した。
脆弱性と脅威
脅威動向
「SMS認証」は、ショートメッセージサービス(SMS)で利用者の番号に認証コードを通知し当該コードを用いて認証する方式で、通常は本人確認済の携帯電話の番号に当該認証コードが通知され、金融機関等においては、ID・パスワードによる認証に加え、SMS認証を利用者に実施させる「二経路認証」を採用し、なりすまし等による不正認証を防止している。
しかし「SMS認証代行」では、通信事業者とSMS機能付データ通信に係る契約を行い、利用者に当該契約に係る番号を提供、あるいは当該番号に通知された認証コードを利用者に代わって受領し利用者に提供することで、なりすまし等による不正アカウントの設定が可能となる。通信事業者の中には、本人確認をすることなくSMS認証代行と契約することがあり、警察捜査における事後追跡性の確保に支障が出ている。
2020年度サイバーセキュリティ政策会議では報告書にて、通信事業者による契約時の本人確認の徹底や犯罪インフラを提供する悪質事業者の摘発強化を提言、一般社団法人日本IT団体連盟はSMSを用いた二経路認証の抜け道になっているとして契約時の本人確認の提言を行っている。
警察庁では1月に、総務省と連携し一般社団法人テレコムサービス協会MVNO委員会に対し、契約時の確実な本人確認を要請、同委員会では加盟事業者の自主的な取り組みとしてSMS機能付データ通信契約に係わる本人確認を実施することを申し合わせした。また警察庁では、都道府県警察に対し、SMS認証代行を含む犯罪インフラに関し、法令に違反する悪質事業者への取り締まり強化を指示している。
《ScanNetSecurity》
関連記事
![北朝鮮の APT 引っかかってみた/Acer 社 ランサム 五千万ドル/データセンター火災影響が攻撃者に 他 [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/33986.jpg)
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)