楽天モバイルのSMS認証に欠陥？SMSを受信せず認証する方法が発見される

携帯電話

2020.04.132021.02.28

第4のキャリアとして盛り上がりを見せている楽天モバイル（MNO）ですが、ユーザーによってセキュリティーの欠陥が発見されたことが話題になっています。

そのセキュリティーの欠陥とは、公式アプリのRakuten Linkを設定するためにSMS認証が行われるのですが、実際にはSMSを受信しなくても認証をクリアできてしまうというものです。

楽天アカウントをしっかりと管理していれば直ちに実害が発生するようなものではありませんし、4月13日現在既に解決済みではありますが、念のため情報を共有しておきます。

楽天モバイルのSMS認証に欠陥

楽天モバイル（MNO）では、インターネット回線を利用して無料で電話やSMSを利用することを可能にするRakuten Linkというアプリが提供されています。

このRakuten Linkアプリは最初のSMS認証さえクリアしてしまえば、楽天モバイルのSIMを挿入していない端末でも、楽天モバイルの電話番号が使用可能であることが既に判明しているのですが…

その肝心のSMS認証について、楽天モバイルのSIMカードが手元にない状態でもクリアできてしまう欠陥が発見されました。

SMS認証は二段階認証の一種で、受信したSMSに記載されているパスコードなどの文字列を入力することで認証処理を行います。

しかし今回の楽天モバイル（MNO）の場合、SMSに記載されている認証コード以外の文字列でも認証可能ということが発覚しました。

しかもその文字列とは、契約回線の電話番号の下6桁の数字という非常に分かりやすい数字です。

例えば電話番号が090-1234-5678なら、SMSの中身を確認しなくても345678を入力すれば認証を突破できてしまいます。

実際に私も実行してみましたが、難なく認証をクリアできてしまいました。私は所有端末がどれもSMSを受信できなくても困っていたので、そういう意味では助かりましたが…

Rakuten Linkアプリ起動時に楽天アカウントの認証も行われるため、セキュリティーがまったく機能していないというわけではありませんが、少なくともSMS認証が機能していないことは確かです。これでは二段階認証の意味がありませんね。

この欠陥はバグなどではなく、仕様なのでしょうね。どうしてもSMS認証が上手くいかないなど、不測の事態が発生した際の救済措置として。

実際、SMS認証をクリアするための裏技的な方法として紹介されている記事も既に出回っています。

しかし二段階認証においてそのような救済措置は用意すべきではありませんし、電話番号の下6桁なんて分かりやすい文字列でクリアできてしまうのは欠陥と言わざるを得ません。

流石に何らかの対策は施されると思ますが、このままの状態で唯一のセキュリティーとなる楽天アカウントの情報が流出してしまうと、楽天モバイル（MNO）で契約している電話番号が悪用されてしまう恐れがあります。

楽天モバイル（MNO）のユーザーは自己防衛として、記号も含めて桁数が多い強固なパスワードに変更しておきましょう。

このようなセキュリティーホールがあるなら安易に楽天モバイルをおすすめすることはできないなと思っていたのですが…

4月13日に楽天モバイルが行ったサーバーアップデートにより、電話番号下6桁による認証は無事対策されました。

Twiiterでは既に対策されて電話番号による認証が不可能になったという報告が上がってきています。

これでSMS認証をクリアするためにはSIMカードが絶対に必要になったので、実物が盗まれない限りは第三者によって不正に利用される恐れはありません。

思っていたよりも迅速に対応されて良かったです。

近年はキャッシュレスサービスにおいていろいろなセキュリティーの欠陥が報じられましたが、今回の楽天モバイルはそれに次ぐレベルでびっくりでした…流石に非ユーザーまで危険に晒したPayPayや、社長が二段階認証を知らなかった7payの比ではありませんでしたが。

楽天アカウントの情報が流出しなければ大丈夫とはいえ、もし流出してしまったら電話番号を不正に利用されてしまうというのはなかなかなリスク。早急に対策してくれて良かったです。これで気兼ねなく他人におすすめできます。

楽天モバイルのプラン料金が1年間になるキャンペーン、300万名の枠はまだ残っているので契約を検討している方はお早めに。