Twitterが「2要素認証の有料化」をせざるを得なかった納得の理由：702nd Lap

TwitterはSMSによる2要素認証の無償利用を2023年3月19日までとし、その後は有料サービス「Twitter Blue」ユーザーのみ利用できる方針とした。発表後は、イーロン・マスク氏の強引な施策とも思われたが……。

[キーマンズネット]

　Webサービスなどで、より強固なセキュリティを確保するために「2要素認証」が使われることが増えた。SMS（ショートメッセージ）で本人確認コードを送り、照合することでログインを許す仕組みだ。

　多くのネットサービスで利用されている2要素認証だが、突如、TwitterはSMSを使った2要素認証の無償利用を廃止した。最初は「イーロン・マスクがCEOに就任したせいだ」とも思われたが、その裏には納得できる理由があった。

　Twitterの2要素認証は「SMS」「認証アプリ」「セキュリティキー」のいずれかを用いる仕組みだが、そのうちSMSによる2要素認証の利用を、月額11ドル（月額1380円）で提供する有料サービス「Twitter Blue」ユーザーのみに限定すると発表した。

　この方針は2023年3月20日以降で適用される。なぜ「SMSによる2要素認証を利用できるのは有料ユーザーだけなのか」と、発表当初は多くの人が訝っただろう。

　Twitterが2022年7月に発表したアカウントセキュリティに関する報告書によれば、Twitterのログインに2要素認証を使うアクティブユーザーは2.6％にすぎないという。多くのユーザーは「コストカットのためのサービス終了だろうか」と考えた。しかし、2023年2月19日にTwitter新CEOのイーロン・マスク氏がその理由をツイートしたことで、SMSによる2要素認証有料化の理由が明らかになった。

　イーロン・マスク氏は「偽の2要素認証を使ったSMS詐欺で、Twitterは年間6000万ドルの損害を受けた」と言う。わずか2.6％のユーザーのために支払う代価としては大きすぎる。そして、そもそも「偽の2要素認証を使ったSMS詐欺」とはどういうものだろうか。テクノロジー系ライター・Apurva Chitnis氏は自身のブログでTwitterの発表を引き合いに出しながら、次のように解説した。

　SMS詐欺は「Premium-rate telephone number」（プレミア電話番号）を悪用した犯罪行為だ。プレミア電話番号とは、サポートサービスなど特定の電話サービスを利用すると、通話料に加えて情報提供料が上乗せされた料金が発信者に請求される仕組みだ。発信者が支払った料金のうち、上乗せ分の料金は番号の所有者（会社や個人など）に支払われる。悪意のあるプレミア電話番号の所有者は、これを使って収益を得ようとした。

　まず、2要素認証を使った特定のネットサービスを見つけ出し、他のユーザーになりすましてサービスに2要素認証を行う。サービス側は2要素認証を実行するためにSMSを送信する。その送信料はサービス事業者が負担することになり、上乗せ料金もサービス側が負担する。

　プレミア番号所有者は、botを使ってアカウントから大量に2要素認証を要求して、サービス側は上乗せ料金を支払わされる。これを繰り返し、プレミア番号所有者は自分たちの利益を得る。Twitterがそのターゲットとされ、年間6000万ドルも窃取されていた、とイーロン・マスク氏は主張する。

　Chitnis氏はその詐欺SMSについて、ブログで幾つかの回避策を提示した。その中でも効果的と思われるものが、Twitterが施行した「有料ユーザーのみにSMSによる2要素認証を許可する」施策だ。プレミア電話番号の通信料金よりも利用料の金額が大きければ、今回のような問題は生じないだろう。

　Twitterの場合、アクティブユーザーの中でも2要素認証を使うユーザーが少なかったわけだから、この処置は決して誤ったものではない。この発表および報道を目にして、「またイーロン・マスク氏でTwitterが……」と思った人は、この件を踏まえて考え直した方がいいかもしれない。

上司X：　TwitterがSMSによる2要素認証の無償利用をやめると言ったけど、実はその裏にはSMS詐欺が多発していた、という話だよ。

ブラックピット：　確かに2要素認証はいろいろな場面で使いますけど、まさかそんな詐欺があるとは。

上司X：　日本でもそういうプレミアム電話番号的なサービスがあるのかどうかは分からないが……。

ブラックピット：　昔あった「ダイヤルQ2」みたいなものですよね。そのケータイ版というか。

上司X：　懐かしいこと覚えてるねえ。

ブラックピット：　でも、Twitterから年間6000万ドルもかすめ取るって、なかなかのものですね。

上司X：　プレミアム料金の設定がいくらかは知らんが、かなりの件数をこなさなければ稼げないだろう。特定の番号へSMSを送らないとかいろいろ対処はしたんだろうが、イタチごっこだったんだろうな。

ブラックピット：　だから、SMSによる2要素認証の利用を有料ユーザーのみに限定したんですね。2要素認証廃止について理由を知らずに批判したメディアも多かったみたいですけど、ちょっとハズカシイですね。

上司X：　まあそう言うなよ。俺も今回の話を聞いた時は「またイーロンか」と思ったが、事情を聞けば仕方ないなと。しかし、今後この手口が広まると、他のサービスでも2要素認証を利用できるのは有償ユーザーだけ、なんてことにもなりかねないだろうな。何らかの対処が期待されるところだよ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。