Googleが「SMSのセキュリティは穴だらけ」と批判する理由

ショートメッセージサービス（SMS）はスマートフォンで広く使われている。個人的なメッセージはもちろん、多要素認証のコードを受け取る場合もあるだろう。Googleによればここにワナが待ち受けているという。どんなワナだろうか。

[畑陽一郎，キーマンズネット]

　Googleによればショートメッセージサービス（SMS）はあまりにも古い技術を使っているため、セキュリティが時代遅れになっていて、危険な状態にあるという。

　2023年9月27日、Googleは安全性認証・試験機関のDekraが公開したホワイトペーパーを取り上げ、SMSのセキュリティの欠点を紹介した。どのような欠点があるのだろうか。

SMSのセキュリティはひどすぎる

　友人とメッセージを交換したり、家族の写真を共有したり、銀行口座の機密データにアクセスするための多要素認証コードを受け取ったりするために、ユーザーは日々SMSを利用している。生成AI（人工知能）のような最新技術を利用できる現在、「Windows 95」よりも古い技術を利用したSMSがこれほど普及しているとは信じ難いというのがGoogleの主張だ。

　SMSのセキュリティには2つの大きな欠点があるという。

・傍受のしやすさ　携帯電話会社のネットワークの脆弱（ぜいじゃく）性を悪用することで、攻撃者はSMSメッセージを傍受できる。SMSメッセージは暗号化されていないため、多要素認証のコードやパスワード、クレジットカード番号などの機密情報を含むメッセージの内容を平文で読み取ることが可能だ
・なりすまし　攻撃者はSMSメッセージを詐称し、あたかも肉親や友人など、正当な送信者からのメッセージであるかのように見せかけ、フィッシング攻撃を仕掛けることが可能だ。ユーザーをだまして悪意のあるリンクをクリックさせたり、機密情報を開示させたりできる。通信事業者ネットワークは、長年にわたってSMSテキストを展開するためのアプローチを独自に開発してきたため、通信事業者が不正なメッセージを識別するのに役立つレピュテーション信号を交換することができず、悪意のあるメッセージを配信するなりすまし送信者を検出することが難しい

　Dekraの調査結果はSMSの弱点、とりわけ暗号化の欠如を明らかにした。DekraがSMSのプロトコル（携帯電話の2G《GSM》で導入）を最新のセキュアメッセージングプロトコルと比較したところ、SMSには「そもそもセキュリティ機能が組み込まれていない」ことが分かったという。

　Dekraによれば、SMSユーザーは次の基本的なセキュリティについての質問に「はい」と答えることができない。

・機密性　自分のSMSを他の誰にも読まれないと信じられますか
・完全性　受信したSMSの内容が変更されていないことを信頼できますか
・認証　受信したSMSの送信者の身元を信頼できますか

　サイバー犯罪者はSMSにはセキュリティ保護がないことに目を付け、弱点を繰り返し悪用してきた。経験の薄い犯罪者も、高度な脅威行為者グループ（UNC3944やScattered Spider、Googleの一部であるMandiantが調査した「APT41」など）も、SMSのセキュリティの欠陥を利用して、ユーザーや企業に対してさまざまな攻撃を仕掛けている。

　SMSの安全性の低さを悪用した悪質なサイバー攻撃により、個人情報の窃盗はもちろん、個人や企業の金銭的損失、アカウントやサービスへの不正アクセスなどの被害が多数起きている。

ユーザーはセキュリティとプライバシーを重視

　「Android」ユーザーも「iPhone」ユーザーも、メッセージを送受信する際のセキュリティとプライバシーの重要性を理解しており、現在のSMSが提供できる以上の保護を望んでいる。

　調査会社YouGovによれば、SMSのテキスト送信について各プラットフォームのユーザーがテキストメッセージを保護するためにより多くのセキュリティを望んでいることが分かった。

・46％がオンラインアカウントの二要素認証のためにSMSを利用
・32％が次にスマートフォンを選ぶ際に「iMessage」や「Rich Communication Services」（RCS）を利用できるかどうか重視した（5段階で4）
・52％がエンドツーエンドの暗号化されたメッセージングの重要度を5段階で少なくとも「4」と評価した
・32％がセキュリティを少なくとも「4」と評価した
・96％がスパムメッセージを強調するために役立つ視覚的なインジケーターがあれば、少なくとも「ある程度望ましい」と回答
・86％が相手のデバイスの種類に関係なく、全てのテキストメッセージが暗号化されるなら、所有するデバイスの設定変更を支持すると回答

SMSのテキスト送信に関する調査結果（提供：YouGov）

問題解決のボールは誰が持っているのか

　SMSのセキュリティに関する状況は次のようにまとめられる。

・SMSは広く使われている
・SMSにはセキュリティ保護機能がほとんどないため、悪用されやすい
・AndroidやiOSなどを採用したスマートフォンユーザーは、かつてないほどセキュリティに気を配っている

　モバイルエコシステムの継続的な進化は、使用しているスマートフォンが何であっても、ユーザーが信頼し、安全だと感じることができるかどうかにかかっている。モバイルエコシステムのセキュリティの鎖の強さは、最も弱い環で決まる。残念ながら、iPhoneとAndroid端末の間でSMSを使ったやりとりをする場合、ここが最も弱い環だ。

　Googleはモバイルエコシステムを安全にするために、プラットフォームを問わず、全てのユーザーが可能な限り安全に利用できるようにする義務があると考えている。RCSのような新しいプロトコルを使えば全ユーザーのセキュリティを劇的に向上させることができるのに、SMSにセキュリティの問題が残っていることは残念だとGoogleは指摘する。

　現在、世界のほとんどのキャリアと500以上のAndroid端末メーカーがRCSをサポートしており、GoogleのメッセージではデフォルトでRCSが有効だ。解決策がRCSであろうと他のものであろうと、スマートフォンの時代が始まる前に解決されていたはずの古い問題に対して、業界が今こそ解決に向けて動き出すことが重要だという。