Scribble at 2024-07-12 08:20:51 Last modified: 2024-07-12 08:23:05

SMS つまりスマートフォンのキャリアが提供しているショート・メッセージのことだが、これは日本だと同じキャリアで相手の電話番号が分かっているときにメッセージを送信できる。でも、海外ではキャリアが違っていても電話番号を知っているだけでメッセージが送信できるので、条件が緩いわけである。というか、そもそもショート・メッセージは通信が暗号化されていないので、SSL を使わない従来の電子メールと同じであって、インターネットの経路上では誰でも通信を傍受できるし、中身を読めるのである。正直、こんなことは30年前からでも通信プロトコルを学んでいるウェブの技術者は知っていることであって、そのリスクを分かったうえで会社でもメールを使っていると思っていたのだが、実はそうでもなかったりする。

かように、せめて20年くらい前からでも通信を暗号化するという前提でサービスやアプリケーションや通信手段を選択するという security by design の考え方でビジネス・プロセスを構築していれば、これまでに起きた多くの重大な被害は防げていた可能性があると思う。いや、電子メールだけに限らず、弊社では Gumblar の被害が広まった2010年くらいからウェブ・サーバへのファイル転送として FTP を使うのは止めて、僕がサーバを構築するときは FTP サーバのデーモンを逆に remove する手順としている。もちろん、その代わりに WinSCP などが既にリリースされていたので、scp over ssh でサーバにアクセスするわけである。制作スタッフのスキルやリテラシーから言って鍵を運用させるのは難しいからパスワード認証にとどめているが、それでも FTP を使うよりは良い。なにせ、zero trust を考えると、FTP で流れるパスワードなんて社内で誰かが Wireshark を使ってるだけですぐにバレるのだ。

ということなので、いまだに SMS を使った MFA を利用しているサービスは、そろそろ止めてもらいたいんだよね。WordPress.com (Gravatar) くらいの些末なサービスならともかく、保険会社ですら使ってるからねぇ。