【朗報】「SMSの二段階認証」クソザコセキュリティだった。日本でも乗っ取られる事件が発生

**それでも動く名無し** · 2022/10/17(月) 13:36:01.31

https://www.kobe-np.co.jp/news/sougou/202210/0015728948.shtml
前々から海外で発生してたけど日本でもニュースになってた
電話番号やSMSでID確認したりパスワード再発行できることで
逆に標的のIDやパスワードを知らなくても簡単に乗っ取れるようになってる

(1)標的の偽造免許証でキャリアショップ行ってMNP番号発行
(2)標的の偽造免許証で別キャリアショップ行って乗り換え＆SIM発行
(3)標的のネットバンクや色々なアカウントでパスワード再発行手続き
(4)発行されたSIMでパスワード再発行用のSMSが届くのでアカウントにログインできる
(5)あとはその電話番号で登録した全てのサービスが乗っ取り犯のおもちゃです

**それでも動く名無し** · 2022/10/17(月) 13:37:11.75

偽造免許ってどこで作るんやろ

**それでも動く名無し** · 2022/10/17(月) 13:37:13.48

めっちゃ大変やん

**それでも動く名無し** · 2022/10/17(月) 13:37:33.59

全然簡単じゃないやんけ
そこまでやられるなら仕方ないわレベルやん

**それでも動く名無し** · 2022/10/17(月) 13:37:47.69

アメリカでも4年以上前からSIM再発行→乗っ取られる被害が発生してニュースになってる
「本人確認用のSMS」が逆にセキュリティの弱点になってる形

https://gigazine.net/news/20180720-sim-hijack/

**それでも動く名無し** · 2022/10/17(月) 13:39:39.76

これを防ぐ方法はマイナンバーカードや免許証の表面じゃなくて中に入ったチップで本人確認を必須にすること
身分証の表面の印字では簡単に偽造される

**それでも動く名無し** · 2022/10/17(月) 13:40:46.38

https://www.kobe-np.co.jp/news/sougou/202210/sp/0015728948.shtml
日本でも事例あるけどどう考えてもフィッシングに引っ掛かったよねそれって感じするのがね…

**それでも動く名無し** · 2022/10/17(月) 13:40:55.78

偽造免許証定期

**それでも動く名無し** · 2022/10/17(月) 13:41:46.61

要は登録した電話番号のSMSでパスワード再発行できる形になってると
パスワードやメールアカウントをどれだけ厳重に管理してもSIMの再発行乗っ取りを防げないということ
IDやパスワードを忘れても電話番号やSMSでログインできるようになるシステムは全部この弱点抱えてる

**それでも動く名無し** · 2022/10/17(月) 13:42:53.63

>>8
今や1枚数千円やぞ

ttps://www.jomo-news.co.jp/articles/-/181516

**それでも動く名無し** · 2022/10/17(月) 13:42:59.07

>>6
(1)の時点でSMS認証必須にさせれば終わらんか？

**それでも動く名無し** · 2022/10/17(月) 13:43:40.54

言うほど簡単か？