最短翌日発送!高速大容量のモバイルWi-Fiルーターの詳細はこちら
携帯電話

楽天モバイルのSMS認証に欠陥?SMSを受信せず認証する方法が発見される

楽天モバイルのSMS認証についての記事 携帯電話

※この記事には広告(アフィリエイトリンク)が含まれますのであらかじめご了承ください。

第4のキャリアとして盛り上がりを見せている楽天モバイル(MNO)ですが、ユーザーによってセキュリティーの欠陥が発見されたことが話題になっています。

そのセキュリティーの欠陥とは、公式アプリのRakuten Linkを設定するためにSMS認証が行われるのですが、実際にはSMSを受信しなくても認証をクリアできてしまうというものです。

楽天アカウントをしっかりと管理していれば直ちに実害が発生するようなものではありませんし、4月13日現在既に解決済みではありますが、念のため情報を共有しておきます。

スポンサーリンク
スポンサーリンク

楽天モバイルのSMS認証に欠陥

楽天モバイル(MNO)では、インターネット回線を利用して無料で電話やSMSを利用することを可能にするRakuten Linkというアプリが提供されています。

このRakuten Linkアプリは最初のSMS認証さえクリアしてしまえば、楽天モバイルのSIMを挿入していない端末でも、楽天モバイルの電話番号が使用可能であることが既に判明しているのですが…

その肝心のSMS認証について、楽天モバイルのSIMカードが手元にない状態でもクリアできてしまう欠陥が発見されました。

SMSを受信せず二段階認証を突破する方法

SMS認証は二段階認証の一種で、受信したSMSに記載されているパスコードなどの文字列を入力することで認証処理を行います。

しかし今回の楽天モバイル(MNO)の場合、SMSに記載されている認証コード以外の文字列でも認証可能ということが発覚しました。

しかもその文字列とは、契約回線の電話番号の下6桁の数字という非常に分かりやすい数字です。

例えば電話番号が090-1234-5678なら、SMSの中身を確認しなくても345678を入力すれば認証を突破できてしまいます。

実際に私も実行してみましたが、難なく認証をクリアできてしまいました。私は所有端末がどれもSMSを受信できなくても困っていたので、そういう意味では助かりましたが…

Rakuten Linkアプリ起動時に楽天アカウントの認証も行われるため、セキュリティーがまったく機能していないというわけではありませんが、少なくともSMS認証が機能していないことは確かです。これでは二段階認証の意味がありませんね。

SMS認証をクリアするための裏技?

この欠陥はバグなどではなく、仕様なのでしょうね。どうしてもSMS認証が上手くいかないなど、不測の事態が発生した際の救済措置として。

実際、SMS認証をクリアするための裏技的な方法として紹介されている記事も既に出回っています。

しかし二段階認証においてそのような救済措置は用意すべきではありませんし、電話番号の下6桁なんて分かりやすい文字列でクリアできてしまうのは欠陥と言わざるを得ません。

流石に何らかの対策は施されると思ますが、このままの状態で唯一のセキュリティーとなる楽天アカウントの情報が流出してしまうと、楽天モバイル(MNO)で契約している電話番号が悪用されてしまう恐れがあります。

楽天モバイル(MNO)のユーザーは自己防衛として、記号も含めて桁数が多い強固なパスワードに変更しておきましょう。

4月13日のサーバーアップデートで対策済み

このようなセキュリティーホールがあるなら安易に楽天モバイルをおすすめすることはできないなと思っていたのですが…

4月13日に楽天モバイルが行ったサーバーアップデートにより、電話番号下6桁による認証は無事対策されました。

楽天モバイル「Rakuten Link」で不正認証が可能? サーバー更新で対応
正式サービスを開始した楽天モバイルだが、音声、SMSなどを提供するアプリ「Rakuten Link」に問題がある、というインターネット上の情報が注目を集めている。自分になりすました他者がRakuten Linkアプリを使えてしまう危険性があ...

Twiiterでは既に対策されて電話番号による認証が不可能になったという報告が上がってきています。

これでSMS認証をクリアするためにはSIMカードが絶対に必要になったので、実物が盗まれない限りは第三者によって不正に利用される恐れはありません。

思っていたよりも迅速に対応されて良かったです。

まとめ:現在は対策済みなのでひとまず安心

近年はキャッシュレスサービスにおいていろいろなセキュリティーの欠陥が報じられましたが、今回の楽天モバイルはそれに次ぐレベルでびっくりでした…流石に非ユーザーまで危険に晒したPayPayや、社長が二段階認証を知らなかった7payの比ではありませんでしたが。

楽天アカウントの情報が流出しなければ大丈夫とはいえ、もし流出してしまったら電話番号を不正に利用されてしまうというのはなかなかなリスク。早急に対策してくれて良かったです。これで気兼ねなく他人におすすめできます。

楽天モバイルのプラン料金が1年間になるキャンペーン、300万名の枠はまだ残っているので契約を検討している方はお早めに。

コメント

タイトルとURLをコピーしました