Twitter Shuts Off Text-Based 2FA for Non-Subscribers
2023/02/20 SecurityWeek — Elon Musk の Twitter だが、有料の Twitter Blue サービス・サブスクリプション以外のユーザーを対象にして、TEXT/SMS 方式の2要素認証 (2FA) 停止を突然決定し、この週末に騒動を引き起こした。2023年2月17日 (金) の遅くに Twitter は、「電話番号ベースの 2FA は、歴史的に人気のある 2FA 形式だが、残念なことに、悪意ある者により悪用される状況を目の当たりにしてきた。そこで本日から、Twitter Blue をサブスクリプションしていないアカウントに対しては、TXT/SMS 方式 2FA の登録させないようにする」と発表している。
Twitter は、「すでに登録されている 非 Twitter Blue サブスクライバーは、この方式を 30日以内に無効化し、別の方法で登録することが可能だ。2023年3月20日以降において、Twitter Blue の非加入者は、2FA の方法として TEXT を使用できなくなる。3月20日以降において、テキスト・メッセージによる 2FA を有効化しているアカウントは無効になる」 述べている。
同社は、料金を支払わないユーザーに対して、認証アプリやセキュリティ・キーなどの利用を検討するよう促している。
この決定と有料機能としての位置づけは、テキスト・ベースの 2FA は、何もしないよりはマシだと主張する、セキュリティ専門家たちの反感を買った。さらに悪いことに、最も弱い形式の 2FA がプレミアム機能であると捉える有料会員に対して、誤った安心感を与えてしまうことになる。
Twitter 自身の内部データによると、多要素の採用率は驚くほど低い状況を維持し続けている。 2021 Transparency Report によると、2020年7月〜12月に なんらかの 2FA 方法を有効にしたアクティブなアカウントは、全体のわずか 2.3% であることが判明した。
さらに悪いことに、この 2.3% のユーザーうち、80% が SMS ベースの認証を使っていたが、この方式は、フィッシングや SIM ハイジャック攻撃に弱いことが知られている。
当時の Twitter は、「それは、業界全体にとって大きな障害である。全体的に見て、2FA の導入率は依然として低く、業界全体の残念な課題よなっている。ユーザーのアカウントで 2FA が有効にされない場合には、Twitter アカウントの安全性を保つために、堅牢とは言えないメカニズムに頼ることになる。
同社は、「全体として、これらの数字は、2FA の幅広い採用を奨励する一方で、2FA を容易に利用するための努力が必要性があることを示している。2FA の方法を、よりシンプルでユーザー・フレンドリーにすることで、Twitter での採用を促進し、セキュリティの向上を果たしたい」と述べている。
昨年に Elon Musk は、すべての人間を認証し、スパムボットを倒すというミッションを掲げて Twitter を買収した、この買収により、アイデンティティ/多要素認証/ボットネット検出に関するサイバー・セキュリティ技術が、大きく向上していくだろうと、一部では楽観視されている。
なんだか、話がよく見えないので、こういうときに頼りになる Gogazin さんを参照してみました。そうしたら、Twitter としても認証アプリとして iOS AutoFill/Google Authenticator/Authy/Duo Mobile/1Password などを推奨しており、それらを使えば無料で 2FA を使い続けられるとのことでした。なお、SMS 2FA の送信料に年間で 6000万ドル (約80億円) も取られていて、それに対して Elon Musk が詐欺だと怒り出したという、もう1つ面白い話もありました。
IoT OT Security News 
You must be logged in to post a comment.