世界を動かす技術を、日本語で。

SMS 2FAは単に安全でないだけでなく、山岳地域の人々にとっても敵対的です

概要

  • 西ノースカロライナ山間部 で暮らす高齢女性が、 携帯通信と2FA問題 で困難を経験
  • Spectrum Mobile(Verizon回線) のカバーエリア表示と実際の通信状況が大きく乖離
  • SMSによる2FAコード がWi-Fi通話や自宅の固定電話で 受信できない
  • TOTPなど 代替手段の導入にも高いハードル
  • 地域住民にとって 現状の2FA主流方式が大きな障壁 となっている現実を提起

山間部高齢者と2FA:現実の壁

  • 友人女性は 西ノースカロライナ山間部生まれ育ち、70代ながら自作の家と大きな池を管理する 地域のインスピレーション 的存在
  • 固定電話(Spectrum) は長年利用し、 補聴器との相性も抜群 で日常に不可欠
  • スマートフォン は近年導入、最初はWi-Fiのみの利用だったが、 外出先でも使うためSpectrum Mobile契約 (Verizon回線利用)に切り替え
  • Signalグループチャット などで地域コミュニティと積極的に交流することも増加

SMS 2FAの深刻な問題点

  • 自宅周辺で携帯電波がほぼ圏外、カバレッジマップ上は「完璧」と表示されているが現実とは乖離
  • Wi-Fi通話を有効化 しても、 5桁ショートコードからのSMS(2FA認証コード)は未着信
  • 友人や家族からの通常SMSは受信可能だが、 多くのWebサービスの2FAコードは届かない
  • 固定電話のSMS読み上げサービス もSpectrumでは未対応と明言される
  • TOTP(ワンタイムパスワードアプリ) への切り替えも、一度はSMS 2FAでログインしないと設定不可
  • 結果として、 多くのウェブサービスに自宅からログイン不可能 という状況に陥る

問題解決への苦難と現実的障壁

  • 解決のための手順 は非常に煩雑
    • ロックアウトされたWebサイトのリストアップ
    • 友人に会うために街に出て、ネットが使える場所で順次TOTPへ切り替え
    • TOTP非対応のサービス には直接連絡し、2FA解除を依頼する必要(多くが不可能)
  • 代替案 として
    • VOIPサービスへ番号をポートインし、Wi-Fi経由でSMS受信 すること
    • 高額なセルラー信号ブースター設置
    • 引越し
  • どれも 現実的でない選択肢 であり、「ウェブサイトにログインするだけ」のために必要なのは理不尽

地域格差と2FA方式の限界

  • カバレッジマップと実際の通信状況の乖離 が深刻
  • SMS 2FAの使い勝手の良さ (直感的・多くの人に理解しやすい)ゆえに普及しているが、 インフラが追いついていない地域では致命的障壁
  • TOTPアプリ導入の難しさ (アプリ選び・技術的説明・初期設定の煩雑さ)が高齢者や非技術者にとって大きな負担
  • アパラチア山脈地域だけでも数千万人規模 が同じ問題に直面している可能性

今後の提案・課題

  • ウェブサービス側でTOTPや他の2FA方式の標準化・簡易化 を進めること
  • ISPや通信事業者によるカバレッジ情報の正確な公開 と、 Wi-Fi経由2FAコード配信の標準化
  • 高齢者・地方居住者にとってのデジタルバリアフリー 推進
  • ユーザー視点の認証UX設計 と、 サポート体制の強化
  • 現状のSMS 2FA偏重の見直しと多様な認証手段の提供 が急務であることを社会全体で認識すること

まとめ

  • 地域インフラとデジタルサービス設計の 断絶 が、日常生活に深刻な支障をきたしている現実を 再認識 すること
  • 高齢者や地方住民も含めた誰もが安全・簡単にデジタルサービスを利用できる社会 の実現が求められる

Hackerたちの意見

TOTPとかHOTPとか。SMSは番号が必要だから、マーケティング会社が実名をデータに結びつけられると、データの価値が上がるんだよね。全部のデータを集約するのにも電話番号が役立つし。

マーケティング会社が実名をデータに結びつけられると、データの価値が上がる。全部のデータを集約するのにも電話番号が役立つ。これはほとんどがハリボテみたいなもので、SMS認証を必要とするほとんどの場所はすでにあなたのフルネームや住所を持ってる(例えば、金融機関や医療提供者)か、その情報を推測できる通信を傍受できる立場にある(例えば、Google)。もしTikTokみたいなアプリやサイトが2FAのために電話番号を要求するなら、無視するか、バーナー番号を使えばいい。

残念ながら、TOTPもHOTPも「見たものがサインするもの」っていう特性を提供しないんだよね。これは銀行や他の取引にとって重要なことなんだけど。「このコードを入力するのは、あなたが支払いたい場合だけです」っていうのは、「ここにTOTPを入力してください」よりもずっと安全なんだ。これは、比較すると白紙の小切手を発行するようなもので、実際、EUでは規制で求められているんだよね。WebAuthNですら、侵害されたコンピュータではその特性を提供しないし、それにはSPC拡張 [1] と小さなディスプレイを持ったハードウェア認証器が必要なんだ。だから、今はそれを提供できる独自の銀行確認アプリに頼らざるを得ないんだよね。中立的な標準があればいいのにと思うけど、フェデレートクライアントアプリのプッシュ通知の仕組み(または、むしろ機能しない仕組み)を考えると、期待はしてないよ。 [1] https://www.w3.org/TR/secure-payment-confirmation/

Google FiはWi-Fi上で全てのSMS二要素認証メッセージを受け取れるし、ショートコードも含まれてる。電話がオフでも、どんなデバイスのウェブブラウザでも受け取れるから、電話が壊れても大丈夫。これが俺のお気に入りの機能の一つ。サービスは月20ドルから始められるよ。Fiは昔は山の方でも良いサービスを提供してたけど、今のUS Cellularはどうなってるか分からない。T-Mobileに半分買収されたみたいだし。

アメリカを出て12年になるけど、Google Fiを使うまではSMSにいつも困ってた。この記事にもあるように、最近は多くの銀行がSMSを要求するから、これが問題なんだ。バーチャル番号を提供するサービスはいろいろあるけど、いつも2つの問題に悩まされる。(1) VOIP番号はセキュリティ上の理由で一部の銀行に「ブラックリスト」されてる:彼らは本物の携帯番号を求める。(2) 技術的な理由でSMSが受け取れない場合もある。Google Fiはどこでも機能する。携帯サービスがなくても、Wi-Fi経由でトンネル接続する。Googleは、アメリカの外に出て1ヶ月経つとFiのデータをオフにするけど、問題ないよ。SMSと音声通話ができる「データなし」の接続に月25ドル払うのは嬉しい。

RCSや「messages for web」を使える?最後にチェックしたときは、「携帯電話がオフ」のテキスト/ボイス(基本的に昔のハングアウト)を使うには「fi同期」を有効にしなきゃいけなくて、そうするとRCS機能が無効になってたんだけど、それはまだ本当?テキスト/ボイスをするためにどのURLに行くの?(hangouts.google.comがgoogle chatにリダイレクトされるのは見たけど)。

Google Fiはデータ1GBごとに10ドルかかるよ。US Mobileの方が安くて、アメリカのトップ3プロバイダーを提供してる。

他の人たちと同じく、期待が大きすぎると思う。去年初めてライムスクーターを借りたんだけど、VPNの設定を間違えてインターネットが使えなかったんだ。スクーターに「終わったよ」って伝える方法がなかった。止まってたのに、ライドを終わらせるボタンもなかった。GPSで自転車ラックに止まってるのが分かったから、余分な時間(多分10分のうち5分くらい)を返金してくれた。もし電話が壊れたり、外出中に何か起こったらどうするんだろうって思う。

ドイツのDHLの荷物ロッカーを思い出すなぁ。新しいやつはもう画面がなくて、ロッカーを使うにはアプリを使わなきゃいけないんだよね。それに、ロッカーと通信するためにはBluetooth接続が必要で、さらにスマホもインターネットに繋がってないとダメってどういうこと?!ロッカー自体はインターネットに繋がってるのに、それで十分じゃない?

  1. Google Voiceアプリをダウンロードする。これは一部の2FAサービスには使えるけど、全部には使えない。詐欺を恐れてGV番号を明示的に禁止しているところもあるから。GVはWi-Fi経由でSMSを受け取れる。2. 携帯電話会社にフェムトセルを頼む。昔は「AT&Tマイクロセル」と呼ばれていて、安かった。山に住んでるから、携帯サービスが改善される前に使ってたんだ。でも、AT&Tはもう作ってないみたいで、今は2500ドルもする。https://www.waveform.com/products/verizon-network-extender-f... 3. mightytext.netに登録して、コンピュータでSMSを受け取れるようにする。携帯電話が信号を受信できない場合にこれが機能するかは分からないけど、SMSメッセージを打つのに携帯のサムズよりもノートパソコンのキーボードの方が楽だから使ってる。

mightytext.netに登録すれば、パソコンでSMSが受け取れるよ。携帯電話が電波を受信できない場合、これが機能するかは分からないけど。無理だよね、どうやって?テキストを転送できるのはキャリアだけだし、アメリカの全キャリアでそのサービスが統合されてるとは思えない(技術的にいろんなレガシープロトコルの理由で結構難しいし)。Appleの衛星メッセージングサービスだけが、キャリアのSMSホームルーター(またはIMS相当)インフラに接続してSMSを傍受して転送できる唯一の解決策だよ。

  1. USBモデムを手に入れて、電波が届く安全な場所にあるコンピュータに接続して、インターネット経由でアクセスするっていうのもいいよ。俺は逆に、モデムとRaspberry Piを使ってキャビンからメトリクスを送るようにしてるけど、逆にするのも簡単だよ。プロトタイピング中に、送ったSMSメッセージを解析するようにしてたんだ。もちろん、全員に合うわけじゃないけど、ここはHNだから…
Hacker Newsで議論の続きを見る