Gmail の SMS 2FA の段階的廃止—QR コードの代替案がセキュリティ議論を引き起こす

Gmail、SMS 2FA オプションの削除、および QR コードのナンセンス

更新日:2025 年 2 月 25 日

多くのオタクと同じように、昨日と今日、私は Google が Gmail アカウントの 2 要素認証 (2FA) のオプションとして SMS を削除する予定であるというニュースを大量に読みました。これ自体は大したことではありません。おそらく良いことさえあります。しかし、QR コードの形での置き換えが歓迎されているのは憂慮すべき展開です。私に言わせれば、全くのナンセンスです。

確かに、私はすぐに記事を書かなければならないと感じました。 Google はまだこのソリューションの実装を発表していません。これは、人々を認証アプリに誘導するための派手な方法かもしれません。繰り返しますが、これは良いことです。あるいは、セキュリティの名のもとに、人々を Google エコシステムに対してさらに従属させる試みである可能性もあります。あるいは全く別の何か。見てみましょう。しかし、私は QR 関連のあらゆるものの想定される「利点」について触れたいと思います。始めましょう。

SMS は「安全ではありません」

テクブロスが教えてくれます。彼らは、SMS がどのように平文で送信され、誰かがコードを傍受する可能性があるかを説明します。また、正規の所有者の電話番号がユーザーの知らない間に一部の悪者に移植される SIM スワップ攻撃もあったとのこと。彼らは、これらの個別のケースを、差し迫った破滅の一例として使用するでしょう。

これが誇大広告である理由は 3 つあります。

• SIM スワップの被害者全員ではないにしても、そのほとんどは著名な公人であり、監視とプライバシーに関しては他にも何千もの懸念を抱えている可能性が高くなります。それらの人々はあなたや私、または他のランダムな農民ではありません。金持ちになるな、問題は解決した。あるいは、そうであれば、非 SMS ベースの 2FA/MA を選択することをお勧めします。問題は再び解決されました。新しいものは何も必要ありません。
• SIM スワップ攻撃のほぼすべてのケースで、焦点は仲介者にあります。これを機能させるには、プロセスを支援する意欲的な従業員、別名汚職内部関係者が必要です。多額の賄賂で強化された欲望に打ち勝つテクノロジーは存在しません。
• これは主にアメリカの問題、つまり住民に国民 ID を発行しない国に課せられた問題です。または国民 ID を使用しないその他の国。ほとんどの場所では、物理的にどこかに出向いて、多くの固有の詳細情報が記載されたカードを提示する必要があります。そうして初めて、番号が移植されるか、同様のことが行われます。もちろん、これは賄賂に喜んでいる従業員には効果がありません。また、SMS が無罪になるわけでもありません。ただし、郵便番号や日付、生年月日などの「一意の」識別子としての無意味な詳細に基づいてランダムに SIM が交換される可能性は低くなります。また、最近のあらゆる種類の著名なハッキングを見てみると、SMS ベースではない 2FA および MFA システムが導入されている場合でも、超機密データを扱う通信会社やセキュリティ会社の従業員さえもだまされてフィッシングに遭い、重要なシステムに資格情報を引き渡されるという大量の事例に遭遇することになります。繰り返しになりますが、テクノロジーではこの問題を実際に解決することはできません。

誰かがこれを傍受できたら、もっともっと大きな問題が手中にあることになります。

SMS とは、シンプルで信頼性の高いものです。また、スマートフォンやモバイルデータの所有に縛られることもありません。 SIM カードがあれば、ほぼすべての端末で SMS を受信できます。必要に応じて、2005 年以降の携帯電話でも SMS を受信できます。そして、それは、特にインターネットに接続されていない場合、今日では非常に安全なデバイスです。あなたが使用しているスマートフォンよりも何倍もそうです。

QR コードは貧しい人や老人の入場を禁止することを意味します

QR コードをスキャンするには、ほとんどの場合スマートフォンが必要です。カリフォルニア人には信じられないかもしれませんが、貧しい人々や老人も存在しており、どちらも複雑なオタク向けスマートフォン アプリを買う余裕がなかったり、使用できなかったりするでしょう。

一例として、さまざまなアクティビティの承認のために QR コード スキャンを備えたモバイル アプリを導入している銀行をいくつか知っています。そして、どのくらいの年齢の人がそれを扱うか知っていますか？彼らは実際に支店に現れ、従業員が助けてくれるまで列に並びます。現在、企業は貪欲で、すべてがオフショア化されたり、「AI」ボットに引き渡されたりしているため、スマートフォンを使用しなければ、サービスと対話する機会はゼロになります。事実上、これは 65 歳以上の人、または新しいデバイスを使いこなすほど裕福でない人にとっては大きな中指です。

これは大部分の人に影響を及ぼしますか?おそらくそうではありません。しかし、技術上の恣意的な決定に基づいて社会から「望ましくないもの」を取り除くのに十分であれば、それはそれでいいでしょう。

QR は「安全」です

テクブロスが教えてくれます。いいえ、そうではありません。これらは、これまでで最も愚かな「セキュリティ」の実装です。解読不能な絵文字です。文盲にとっては魔法的で神秘的なもの。私たちは人間の言語や単語を使用することから、紀元前 3,000 年のように象形文字を使用するように退行しています。でもね、愚かな人のほうがコントロールしやすくて、ずっと儲かるのよ。

QR コードにはカメラが必要であることを除けば、良い点は何もありません。このテクノロジーがいかにひどいかを示す最近の 2 つの例を紹介します。私の Nokia X10 携帯電話では、システム アップデートにより、かなり長い間 QR スキャンが機能しなくなってしまいました。そう、スキャンしたくても何もスキャンできませんでした。すごいですね。私の Samsung A54 では、Google Play Services に EXTRA 権限を与えないと、完全に別個のアプリである Google Authenticator で QR コードをスキャンできません。素敵なディストピアのスクリーンショットを起動します:

スキャンして、その後はどうなりますか?

OK、これが実装であると仮定してみましょう。そして？ Gmail に似た QR コードを備えたフィッシング サイトにユーザーが送信される可能性は依然としてあります。そして、これらのサイトは、以前と同じように、陽気で邪悪な Web に人々を送り込むことになるでしょう。おそらく、もっと簡単にできるかもしれません。多くの著名なハッキングでは、ユーザーが本物と同じように見えるフィールドに 6 桁のコードを入力することで、関連する 6 桁のコードをリアルタイムで悪者に提供していたことを思い出してください。繰り返しになりますが、テクノロジーは恐怖、パニック、混乱などを解決することはできません。むしろ、曖昧なテクノロジーはこれらの感情を高め、人々をさらに間違いを犯しやすくするだけです。

別の可能性もあります。これはただの言葉が悪いドラマです。おそらくこれは、OTP コードを生成する単純な認証アプリを使用する必要があることを意味しているだけかもしれません。まあ、その選択肢は存在するので、何かをしたり、大きな発表をしたりする理由はありません。もちろん、フォールバックは重要ですが、ハイテク企業とその輝かしい高速移動のナンセンスをそれほど気にすることはありません (おそらく、SMS は一部の機能にはまだ存在すると思われます)。いずれにせよ、QRコードは無意味で役に立ちません。結局のところ、認証アプリの QR コードは、アプリが関連するコードを生成できるようにするためのシード ハッシュにすぎません。これらは、「電話での入力」が難しいために存在します。ああ、だめだ！クライ ミー ア リヴァー。伝説的なバスケットボールのコーチ、ゼリコ・オブラドビッチはこう言いました。言い換えれば、「どの QR コードですか?」このQRコード？これは冗談ですよ、[原文どおり]。

そして、それがまったく新しいものであるとしたら、どうなるでしょうか？ 1 つの電話を 1 つのアカウントに関連付けますか?それは当然、プライバシーが低下することを意味します。今では、Gmail を送信する場合、携帯電話で何もする必要はありません。認証アプリを使用することも、コードをクラウドに同期しないことも、デスクトップで使用しているものとは完全に別のアカウントを携帯電話で使用することも、複数のアカウントを使用することもできます。あまり冷笑的になるつもりはありませんが、これは人々に携帯電話で永久に認証を強制し、さらに多くの無意味な人生をデータ支配者に明け渡す絶好の機会です。

そうなるかどうかは分かりませんが、楽観視する理由はありません。過去15年ほどを見てください。あらゆるものを扱うオンライン アカウント、どこにでもあるクラウド クラウド、クラウド ナンセンス、マニフェスト V3、広告、広告の「プライバシー」、その他の役に立たないゴミ。すべては、愚か者からさらに多くのデータを収集し、彼らをさらにつながり、夢中にさせ、大企業に依存させるように設計されています。なぜこれが違うのでしょうか?

私が抱いているわずかな希望は、欧州連合が一定レベルのプライバシーと匿名性を方程式に強制するかもしれないということです。しかし、それでは世界中のすべての人のニーズが解決されるわけではありません。そして願わくば、十分な抵抗とノイズが存在し、SMS に代わるものが健全で便利でシンプルなものになることを願っています。期待することしかできません。

結論

Google がログインをより安全にしようとするのは気にしません。はい、オフライン アプリによって生成された OTP コードを使用する 2FA は、SMS よりも優れています。しかし、セキュリティ概念としての QR コードは、その 100 万倍も悪いものです。同様に、タップは愚か者のためのものであり、パスキーはよほど熱心なオタク以外にはナンセンスであり、ハードウェア キーは専門家や著名人にとっては絶対に意味があります。一般の人々にとって、SMS はシンプルで信頼できるオプションであり、今でもそうです。認証のようなアプリは、もう少し知識があり、スマートフォンを使用するのに十分なお金と知識がある人に適しています。

SMS の削除はテクノロジーだけの問題ではなく、社会の問題でもあります。それを取り除くことは、貧困層と高齢者を実質的に方程式から排除することになります。それは経済的および技術的排斥です。しかし、それらの人々はいずれにせよ利益を得ていないため、サービスに「登録」したり、広告を見たりすることはありません。まあ、Googleが何をするかを見る必要があります。おそらくそれは本当に理にかなったクールなものになるでしょう。あるいは、まったくそうではありません。見てみましょう。しかし、それが何であれ、QR コードに依存する場合、それはひどく、恐ろしく、愚かで、無意味なものになるでしょう。さようなら。

乾杯。