メールアドレス認証2FAはパスワードだけで突破できるからやめておけ

BRANK

みなさん、XやTelegramやLinkedInの2FAをメールアドレスにしていませんか？実は、これだと意味がありません。パスワードがバレてしまった場合、容易に突破されてしまいます。実際、わたしの友人何人かは、この脆弱性を突かれてアカウントを乗っ取られています。本記事では、そのメカニズムと対策を図を交えて解説します。アカウント乗っ取りの流れまず前提として、フィッシングに引っかかったなどでSNSのパスワードが流出したとします。パスワードを入手したハッカーは、以下の手順でアカウントを乗っ取ることができます。パスワードを使って「メールアドレス変更」する新しいメールアドレスでアカウント認証する新しいメールアドレスに認証コードが届き、アカウントへログインできるはい、そうです。多くのSNSではメールアドレス変更を先に行うことで2FAを突破できるんです。なぜこれが起きるのか？多くのSNSは、アカウント復旧を目的としてパスワードのみでメールアドレスを変更できる設計になっています。端末を紛失したユーザーが唯一覚えているパスワードで復旧できるようにするためです。Xではアラートが出ますが、48時間以内にもとのアカウント保有者が気付かないと…