xiaolong 
Appleは先月に行われたWWDC18(世界開発者会議2018)において、iOS 12の新機能の一つとして、「セキュリティコード自動入力(SMSコード認証の自動記入)」機能を発表したのを覚えている人も多いでしょう。これは、既にiOS 11以前でもApple IDなどでの2ファクタ認証では実現していた、携帯電話番号認証のためのコードが記されたSMS(ショートメール)が送られると、本来は手で打たなければならなかったコードが自動的に記入されるという仕組みです。
確かにこの機能はユーザにとっては手間が省けて便利なのですが、悪意のある攻撃者からすると悪用できてしまうということが、セキュリティ研究家のAndreas Gutmann氏によって指摘されています。
iOS 12の新機能、セキュリティコード自動入力機能とは
アプリやサイトなどのサービスにユーザ登録した際に、携帯電話番号での認証をするのはよくあることです。その際に、ショートメール(SMS)による6桁のセキュリティコード(数字)による認証が行われることが多いのですが(ただ日本ではもともとSMSを使っている人が少ないことと、MVNOのデータ専用SIMだとSMSそのものが受け取れないため、そこまで多くはないのかもしれませんが)、これまではそのコードが送られてきたら、手で入力しなければなりませんでした。それを、自動的にセキュリティコードが入ったSMSを受け取るとiOSが自動的に記入してくれるという機能が「セキュリティコード自動入力」です。
このセキュリティコードは覚えるのがかったるいので、基本的にはSMSの内容が通知で表示されている間に急いで手入力することが私は多いのですが、その手間が省けるということで、この自動入力機能は大変便利です。もしSMSの内容が表示されている間に入力できなかった場合、いったんメッセージアプリに移動して内容を確認しなければならないのですが、その際にポップアップなどで入力欄が表示されている場合はその入力欄が消えてしまって、再度認証セキュリティコードを要求しなければいけないというマヌケな状況が発生していたのですが、そんな手間もこの機能があればなくなるということで非常に楽しみな機能でした。
セキュリティコード自動入力機能はmacOS 10.14 Mojaveとも連携可能で更に便利に
更になんと、この「セキュリティコード自動入力機能」は、iOS 12を搭載したiPhoneと、macOS 10.14 Mojaveを搭載したMacを組み合わせることができます(当然ながら、同一Apple ID=iCloud IDを使用している必要あり)。iOS 12と搭載したiPhoneでSMSを受け取ると、そのままmacOS 10.14 Mojaveを搭載したMac側でセキュリティコードが自動入力される仕組みになっています。これはiOSとmacOSの間でシームレスにコピペの内容が共有されるのと同じくらい便利で画期的な機能といえるのではないでしょうか?
セキュリティコード自動入力機能のmacOSとの連携が脆弱性に繋がる?
しかし、このiOSとMacとの連携セキュリティコード自動入力機能が、悪質なフィッシングサイトや偽サイトなどで利用されると、ユーザが気付かないうちに正規のアカウントが乗っ取られたりする可能性があるというのです。
例えば、悪意のある攻撃者が偽物の銀行サイトを作り、そこでユーザがmacOS 10.14 MojaveのSafariでそれを開けた時に、ユーザが気付かないうちにSMSによるセキュリティコード認証が行われてしまう可能性があり、そのことによって悪意のある攻撃者が本物の銀行のアカウントにログインできてしまう可能性があるというのです。
小龍のひとりごと
ということで、海外メディアVASCOでは、銀行サイトなどではやはり従来通り、ユーザがセキュリティコードを手動で入力するタイプを使うことを勧めています。確かに既に実現している2ファクタ認証でのこの自動入力機能は非常に便利ですが、ユーザ側としても、特にMacを通じて認証に使う場合は、フィッシングサイトに注意した方がいいかもしれません。
やはり便利さと脆弱性は紙一重。。ということなのでしょうね。
記事は以上です。
(記事情報元:VASCO)