ESETはこのほど、「Twitter ends free SMS 2FA: Here’s how you can protect your account now|WeLiveSecurity」において、Twitterユーザーに対し、ログイン時に二要素認証(2FA: Two-Factor Authentication)を利用するよう助言した。Twitterがショートメッセージサービス(SMS: Short Message Service)による二要素認証のサポートを終了したため、代わりとなる別の二要素認証を利用することが推奨される。

  • Twitter ends free SMS 2FA: Here’s how you can protect your account now|WeLiveSecurity

    Twitter ends free SMS 2FA: Here’s how you can protect your account now|WeLiveSecurity

TwitterはこれまでサポートしてきたSMSベースの二要素認証を無効化している。この機能を無効にした理由として、電話番号ベースの二要素認証が脅威者に悪用されていることを目にしてしてきたためとしている。

ESETは二要素認証方式はパスワードだけの認証よりもセキュリティ上優れていることは確かとして、Twitterアカウントがハッキングの危険にさらされないよう別の二要素認証による2段階のログイン方法に移行するよう働きかけている。

Twitterの二要素認証は現在、テキストメッセージよりも安全な他の2つのタイプがサポートされている。まず、Microsoft AuthenticatorやGoogle Authenticatorなどのデバイス上の認証アプリを使用する方法が紹介されている。Webサイトやアプリにログインする際に本人確認に使用するワンタイムコードを認証アプリが生成するというもので、コードがアプリに表示されるため、ショートメッセージサービスのように電話番号にリンクしているのではなく、デバイスに直接リンクされていることが大きな利点とされている。またアプリを使った認証は、コードを読み取ったり盗んだりしようとする脅威者に対して効果的だという。

もう一つはUSB、NFC、Bluetoothで接続するハードウェアセキュリティキーで二要素認証を実現するというもの。物理的なキーはコードの傍受やリダイレクトができないため、より高いレベルのセキュリティを得ることができる。ただし、この方法にはいくつかの欠点があるという。

ログインするためにキーデバイスを持ち歩かなければならないことや、すべてのデバイスおよびプラットフォームに対応しているキーデバイスが存在しないというデメリットが紹介されている。また、キーデバイスを購入しなければならず、初期費用が発生してしまうところも欠点と指摘している。

Twitterを利用する上で強力でユニークなパスワードを設定するとともに、上記で紹介した二要素認証を設定することが望まれている。またTwitter Blueに加入している場合、ショートメッセージサービスによる二要素認証を利用することは可能とされているが、これらのユーザーも他の二要素認証を使用することが推奨されている。