Apple の 2 要素認証システムを変更する必要がある

最近では、アカウントに 2 要素認証 (2FA) を設定することが非常に重要です。特に、銀行や携帯電話のオペレーティングシステムなど、かなり重要なアカウントです。実際、Apple は新しい Apple ID を作成するときに 2FA の設定を強制します。スキップしたり、後でオフにしたりするオプションはありません。

2FA は完璧なシステムではありませんが、そうでない場合に比べてアカウントへのアクセスが大幅に困難になります。Apple がセキュリティに対してこれほど強力なアプローチをとっているのは賞賛に値しますが、その 2 要素システムは依然として著しく後進的です。つまり、典型的な Apple スタイルでは、私の好みには Apple 中心すぎるのです。

Apple の 2FA システムは Apple ユーザーに有利

専門家が定期的に強調していることの 1 つは、SMS ベースの 2FA は非常に安全ではないということです。追加の保護がまったくないよりはマシですが、SMS 自体が本質的に安全ではなく悪用されやすいという事実は、機密情報を送信する方法としてはあまり良い方法ではないことを意味します。

Apple の 2FA は、デフォルトでは SMS を使用しません。Apple アカウントにログインしようとするたびに、Apple デバイスに確認コードが送信されます。もちろん、Apple TV Plus や Apple Music などのサービスを別のプラットフォームで使用している場合など、Apple デバイスをお持ちでない場合は、システムは SMS に戻ります。

Apple の終わりのない Apple 中心のアプローチにより、これらのことは両方とも、それなりに問題を抱えています。これは、Apple アカウントとサービスに Apple ハードウェアでのみアクセスできた時代の名残のようです。

主に iPhone ユーザーである場合、これは問題ありません。どちらの方法で 2FA コードを取得する場合でも、Apple のアプローチは携帯電話を手元に置くことに依存しています。この問題は、iPhone を持っていないが、Apple のデバイスやサービスを使用している場合に発生します。私の場合、タブレットをほとんど使用しないために iPad を持っていますが、有効な Apple TV Plus サブスクリプションも持っています。

Apple の Roku アプリは常に再ログインを要求するので、そのたびに 2FA プロセスを実行する必要があります。Apple は私の iPad にコードを自動的に送信します。iPad はオフィスに閉じ込められており、私が Android スマートフォンを手に持ってソファに座っている間、電源も入っていない可能性があります。

コードを受け取っていないと主張し、SMS でコードを送信するように要求する必要があるのは、少々面倒です。しかし、Apple が別の方法でそれを行うためのオプションを私に提供しているわけではありません。信じてください、私が調べてみたところ、どうやら Apple のやり方か高速道路のケースのようです。

Apple デバイスにコードが自動的に送信されるのを避ける唯一の方法は、Apple ID からコードを物理的に削除することです。そして、他の Apple 製品を持っている場合は、おそらくさらに不便になります。さらに、SMS 2FA は、データプライバシーの優れた能力を宣伝するのが好きな企業にとって、理想的な選択肢とは言えません。

SMS ベースの 2FA は驚くほど安全ではありません

Apple が 2FA システムに厳格であるという事実は、必ずしも悪いことではありません。実際、デフォルトで専用の認証システムを使用し、ユーザーがそこから逸脱しないようにすることで、セキュリティがより確実に保護されます。

問題は、唯一のバックアップ、そして iDevice に接続していないユーザーが利用できる唯一のオプションが、安全とは程遠いことです。

SMS 2FA は、アカウントを安全に保つためにパスワードのみに依存するよりもはるかに安全です。しかし、SMS 自体は本質的に安全ではないため、SMS 2FA システムが脆弱になります。

まず、ハッカーが通信事業者を騙して電話番号を新しいデバイスに移植するのは非常に簡単です。これは SIM スワップ攻撃と呼ばれるもので、ここ数年でこの攻撃が急増しています。自分の電話番号をより適切に保護する方法はありますが、単純な事実は、ハッカーが電話番号を制御できるようになると、そこに送信されるすべてのもの (2FA コードを含む) を傍受できるということです。

さらに、携帯電話システムも SS7 攻撃に対して同様に脆弱であり、ハッカーがほぼあらゆるものを監視できるようになります。通話、メッセージ、電話の位置など、何でも構いません。同様に、テキストメッセージを別のデバイスに同期すると、そのデバイスが何らかの方法で盗難またはハイジャックされた場合に危険にさらされます。

もし Apple にセンスがあったなら、Apple ID を持っているがメインデバイスとして iPhone を使用していない人々のためのオプションとして、SMS ベースではないある種の 2FA 認証を提供するでしょう。特に Apple TV Plus や Apple Music などのサービスは iPhone、Mac、iPad 以外でも利用できるため、こうした人々は実際に存在します。

繰り返しになりますが、Apple が iPhone 以外のユーザーを SMS のなすがままにしておいたのはこれが初めてではありません。RCS メッセージングに対する同社の継続的な抵抗と、同社の初期の AirTag ストーキング対策が非常に iPhone に特化していたという事実だけを見れば、Apple が Android ユーザーのデータがどうなるかは明らかに気にしていないことがわかります。

結論

Apple は多くの点で優れていますが、すべてが少し…不注意に見えることがあります。二要素認証の現状はその好例です。まるで Apple は、自社のサービスがもはや iPhone と iPad ユーザーだけが利用できるわけではないという事実にまったく適応していないかのようだ。

この問題は、Apple のユーザーベース全体と比較して、非常に少数の人々にのみ影響を与える可能性があります。しかし、ユーザーのプライバシーとセキュリティに誇りを持っている企業が、iPhone を購入する人だけでなくすべての人に対して、このようなことを徹底して取り組んでいないというのは、依然として信じられないほど奇妙で、懸念すべきことです。

2FA をオフにするオプションを顧客に提供しないことは理解できます。同様に、最後の手段として SMS を認証として使用することは、他の方法よりも優れています。しかし、おそらく、おそらく、ユーザーには別の選択肢があるはずです。それは、iDevice を持っていない人であっても、SMS 2FA を可能な限り避けたい人であってもです。他の誰もがそれを行うことができるなら、Apple もそれが可能です。