IT ニュース&コラム 2017/ 7/17 通巻742号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ チケットの転売対策にも普及したSMS認証とその闇 ■■ 2017年 6月30日、イープラスは、チケットの不正購入や高額転売などの根絶に 向けて、会員登録をする場合は、6月29日から、SMS認証による2段階認証が必須 となった。 既存会員は、11月16日から抽選の申し込みに、2018年 1月18日から 一般発売の申し込みにSMS認証が必須になる。 SMS認証とは、これまでパスワードの入力で行ってきた本人確認を、そのパス ワード入力だけでなく、携帯電話のショート メールに送られてきたワンタイム パスワードでも行う方法だ。 単に2段階にすることでセキュリティを強化する ことが目的ではなく、一人で大量のアカウントを作成することを防ぐことが 目的だ。 1つの電話番号につき、毎月千円払わなければならないことと、 一人が大量に電話番号を持つことがキャリアに知られやすいことが担保になる。 ちなみに、IP電話用の050、IoT用の020から始まる電話番号はSMSが使えない。 2段階認証(2要素認証)が有名になったのは、Google がそれを始めたからで あるが、キャリア メールも使えた。 キャリアを変更するとキャリア メールが 変わってしまい大変なことになるため、現在は、NMP(ナンバー ポータビリティ) できる電話番号によるSMS認証が主流だ。 つまり、いつのまにか、NMPしない ことのほうが難しい状況になっている。 SMSを1通送るのに10円弱かかるが、Google は特別な契約をしているのだろう。 ローソンチケット(ローチケ)では、会員に国際SMSの代金を払わせているが、 何度も送ると高額であると非難され、対応を行った。 SMS認証は、LINE、ツイッター、メルカリ、ヤフオクでも使われており、一人が 多くの人になりすますことが難しくなっている。 ただし、ツイッターなどは、 一人で1つしかアカウントが持てないことは不便であるため、少しは複数アカウント が持てるようである。 LINE が普及し始めた当初は、電話番号が不正に売られる ことが懸念されたが、上場企業など身元が明らかな企業なら、そんな信頼を 失うような行為はしないだろうという考えが広まってきて抵抗がなくなってきた。 ただし、大企業ならその考えでいいだろうが、見知らぬ企業では、その考えは 注意すべきだ。 SMS認証があれば、一人が多くの人になりすますことが難しくなっているようだが、 検索すれば、転売屋(せどり)は、すでにSMS認証を回避する方法を公開している。 まず、無料でSMS用の電話番号を取得出来るサービス(HeyWire、textPlus など) を利用する方法がある。 携帯電話がなくても、ログインしてメッセージを受信 できるのだ。 しかし、現在では、電話番号を保持する通信会社を判別して、 SMS認証できなくしている。 SMS認証の代行業者も現れている。 これは名義貸しにあたり、偽計業務妨害罪の 可能性があるが、現実はヤフオクなどで検索すればすぐに見つかるほど堂々と SMS認証の代行が販売されている。 1000円弱かかるが、高額転売する転売屋に とっては、小さな額だ。 米国立標準技術研究所(NIST)は、SMS認証の安全性に警告を出している。 SMS はプロバイダー内に保護されたネットワークであるが、比較的古い技術で あるため(施設に入ってウィルスを潜入させたりすれば)、傍受(インター セプト)が簡単であるという。 2段階認証と言っているが、Google アカウントなどでは、パスワードを忘れたと 嘘をつけば SMS認証だけになり、実質1段階認証であることも問題だ。 パスワードを再発行するときでも、たとえば、個人しか知りえない質問 (セキュリティ質問)とSMS認証のように 2段階認証すべきだろう。 このような状況で、チケットの不正購入や高額転売に SMS認証が有効なの だろうか。 ないよりはマシではあるが、名前が書かれたチケットと身分証に よる本人確認との組み合わせにしなければ、効果はないのではなかろうか。 実際には入場時に本人確認が行われないことがあるが、主催者はクレームを 恐れず本人確認を徹底するのが良いだろう。 転売撲滅に協力してくださいと もっと言ったほうがいいだろう。 ソース https://japan.cnet.com/article/35103587/ http://app-review.poox.xyz/archives/632 https://www.bengo4.com/internet/1078/b_462538/ https://www.j-cast.com/2017/05/19298469.html?p=all http://jpnpay.com/archives/561 https://japan.zdnet.com/article/35095393/ https://security.srad.jp/story/16/07/26/0920203/ ■■ 注目ニュース 一覧 ■■ ◇ Microsoft、企業向け組織横断分析ツール、Workplace Analytics 提供開始。 http://www.itmedia.co.jp/news/articles/1707/06/news059.html … メールを返事する時間や会議の時間が監視される。 非技術職にも効率の意識を。 ◇ まだ7を使う? 2017年秋にWindows 10のセキュリティと管理機能はここまで進化する。 http://www.itmedia.co.jp/pcuser/articles/1707/05/news104_2.html … リモートで特定のプロセスを停止させられる機能は悪用されそう。 ◇ JSONデータからTypeScriptのコードを生成するVisual Studio Code拡張機能 JSON to TS。 http://forest.watch.impress.co.jp/docs/review/1068942.html … 型がない JSON から、型を分析。 ◇ 超高速交通システム Hyperloop、真空チューブ内で初の試験走行に成功。 https://japan.cnet.com/article/35104259/ … 空気漏れの検出に IoT の技術を。 ◇ UbuntuがMicrosoft公式のWindowsストアからダウンロード可能に。 http://gigazine.net/news/20170711-ubuntu-on-windows-store/ … Windowsストアから提供するのにユニバーサルではない。 ◇ 暗号化ツール、アタッシェケース に未修正の脆弱性、暗号化ファイルの実行には注意を。 http://forest.watch.impress.co.jp/docs/news/1070740.html … 7zipの暗号化に切り替えよう。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm