2年前、新しい電話番号を取得しました。私のソーシャルメディアや配車アプリ、アマゾン、私の銀行、そしてペンシルバニア州の目には、それは事実上、私がアイデンティティを失ったことを意味しました。私がテクノロジーによって引き起こされたこの泥沼から抜け出したのはつい最近のことです。
新しいスマートフォンを手に机に座り、正面カメラを見つめながらゆっくりと頭を上下に回転させました。それから、レンズとのアイコンタクトを崩さずに、片方の耳からもう一方の耳へと慎重に頭を動かしました。この短いクリップは、私が何週間も主張してきたこと、つまり私は詐欺師ではなく、実際に私であることをインスタグラムのセキュリティシステムに証明するはずだった。
Instagramからの自動メールには「自撮り動画をありがとう」と書かれていた。 「この情報を受け取りましたが、検討中です。」
Instagram のパスワードを忘れただけでなく、以前の電話番号にもアクセスできなくなりました。最後にログインして以来、新しい携帯プロバイダーのお金を節約できるファミリー プランに切り替えていました。 Instagram の 2 要素認証セキュリティ (アプリが秘密のコードをテキストメッセージで送信することで本人確認を行う) を突破し、12 年分の猫の写真やフィルタリングされた街のスカイラインに再びアクセスするには、自分の顔のビデオをアップロードする必要がありました。
Instagram からの返答を待っている間、会社のセキュリティ チームの誰かが私の自撮りビデオを見て、私が何年にもわたって私のアカウントに投稿した写真に目を通し、私の身元をきっぱりと確認しているところを想像しました。数分後、実際の人間が背後にいるとは思えない速さで、電子メールが届きました。件名には「あなたの情報は確認できませんでした」とありました。私の情報?つまり、私の顔ですか?
メッセージには「あなたが送信した動画からはあなたの身元を確認できませんでした」と書かれていた。 「新しい動画を送信していただければ、再度審査させていただきます。」
このゲームは楽しそうだったが、私には他にもやるべきことがあった。
突然電話番号を切り替えると頭が痛むだろうとは思っていましたが、実際にこれほど複雑になるとは予想していませんでした。 Lyft や Cash App から Instagram や Amazon に至るまで、私は突然、自分の生身の身元を確認し、デジタル ライフへのアクセスを取り戻すために、プラットフォームごとに異なる物流の輪を飛び越えなければなりませんでした。本人確認がアルバイトになった。そして、私が苦労して学んだのですが、物事を解決するのを手伝ってくれる仲間を見つけるのは困難でした。
テキスト メッセージ ベースの 2 要素認証の起源は 1990 年代にまで遡りますが、実際に普及し始めたのは 2010 年代初頭になってからです。スマートフォンを購入する人が増えるにつれ、本人確認の方法として電話番号を使用するのが便利だと思われました。同時に、データ侵害やサイバー攻撃の頻度と巧妙化により、従来のパスワードはほとんど役に立たなくなったため、当時のバラク・オバマ大統領は2016年にウォール・ストリート・ジャーナルに論説を寄稿し、国民に「パスワードを超えて」パスワードを受け入れるよう訴えた。データを保護するための追加のセキュリティ層。 2024年になっても「1234」や「password」などのハッキング可能なパスワードは残っていた 驚くほど一般的な。
多要素認証は、ユーザーに本人確認のための追加の手順 (または 2 つ) を要求することで、従来のパスワードに比べてセキュリティが大幅に向上します。リモートワークのおかげで、MFA の採用が増加しています。同社の 2023 年のレポートによると、Okta を使用している人の 64% が何らかの形式の多要素認証を使用していることがわかりました。パンデミック前は35%だった。
その利点にもかかわらず、このシステムには途中で重大な欠陥が発生しました。それは、SMS ベースの 2 要素認証です。これは、身元を確認するために誰かの電話に電話するかテキストメッセージを送信することに依存します。認証アプリに依存する MFA 方法とは異なり、テキストベースの認証は、おそらく誰かの身元を確認する最も安全性の低い方法です。残念ながら、これは最も一般的なものの 1 つでもあります。
サイバーセキュリティ企業クラウドストライクの米州担当最高技術責任者クリスティアン・ロドリゲス氏は、「成熟度の低い組織がSMSベースのコードの使用を標準化しているのをよく目にする」と述べた。 Apple、Google、Zoom、Slack、Dropbox、PayPal、およびほとんどの主要な米国の銀行や大学は、 サイトの長いリスト それはまだ使用しています。
私たちの指紋や顔とは異なり、電話番号は私たちのアイデンティティの永続的な特徴ではありません。
「インターセプトも簡単だ」とロドリゲスはこの方法について語った。 「SIM スワッピングは、攻撃者がこれを回避する非常に簡単な方法です。」
SIM スワッピング攻撃では、ハッカーが誰かの電話番号を制御し、その人の生活に大混乱を引き起こす可能性があります。銀行口座やソーシャル メディア アカウントから、Apple Pay などのデジタル ウォレットに保存されているクレジット カードに至るまで、サイバー犯罪者が得られるアクセスの量は驚異的です。これは、私たちの生活がいかに完全に電話番号と結びついているかを示しています。
最近、中国政府と連携したハッカーらが「ソルト・タイフーン」と呼ばれる大規模ハッキングで通信ネットワーク経由で米国の携帯電話へのアクセスに成功したが、連邦政府はこのハッキングは中国史上最悪の部類に入ると述べている。ソルト・タイフーンの正確な原因と全体的な影響はまだ調査中だが、専門家らは、2年間にわたる浸潤が数百万人のアメリカ人に影響を与えた可能性があると述べている。 10月に初めて報告されたこの攻撃を受けて、連邦政府は人々にSMSベースの認証の使用を中止するよう勧告している。
私たちの指紋や顔とは異なり、電話番号は私たちのアイデンティティの永続的な特徴ではありません。これは、サインアップ時に携帯電話プロバイダーによってランダムに割り当てられる一連の数字にすぎません。支払いをやめたり、携帯電話プロバイダーを変更したり、新しい国に引っ越したりすると、その番号はもう私たちのものではなくなります。電子メール アドレス (私の場合、20 年前の Gmail アカウントは、私が死んだ後もずっとマーケティング プロモーションを受信し続けると確信しています) でさえ、携帯電話よりも信頼できる長期的な指標となるでしょう。番号。結局のところ、私のメールアドレスは決して再割り当てされることはありません。それは私のです。連邦通信委員会によると、私の電話番号と、毎年再割り当てされる約 3,500 万の番号は、また別の話です。
この問題を認識している企業はほとんどないようです。X は、SMS ベースの 2 要素認証の弱点を理由に、未認証ユーザーに対する SMS ベースの 2 要素認証のサポートを 2023 年初めに終了することを決定しました。大規模な侵害を受けて、Google や Microsoft などのテクノロジー大手も SMS 認証から撤退し始めています。それでも、X は主要なソーシャル メディア プラットフォームの中で孤立しており、完全に放棄しています。これは私が苦労して学ばなければならなかった事実です。
ほとんどの場合、アカウントへのアクセスを取り戻すのは簡単でした。たとえば、私の銀行では、私の身元を確認し、MFA を回避し、電話番号を更新し、パスワードをリセットするために、カスタマー サービス エージェントに簡単に電話をかけるだけで済みました。
インスタグラムは、私が銀行取引している小さな信用組合よりも著しく大規模でリソースも豊富な事業だが、顧客サービスホットラインを提供していなかった。代わりに、Instagram のログイン画面から 6 回ほどクリックした後、ビデオセルフィーを送信することを提案するカスタマーサービス FAQ ページの奥深くにたどり着きました。アプリが落ちてアカウントに戻される前に、自動化されたボイドにいくつかのビデオを送信する必要がありました。
私の Amazon アカウントには、Audible、Alexa、Whole Foods ショッピングなどのサービスが含まれており、驚くほど難攻不落の要塞であることがわかりました。リンクの迷路をクリックして進んでいくと、最終的に、身元を確認するためにパスポートの写真をアップロードするように求めるプロンプトに到達しました。一週間何も聞こえなかったので、もう一度試してみました。数か月後、Amazon は私に再び参加させてくれました。 (インスタグラムとアマゾンは複数のコメント要請に応じなかった。)
顧客サービスの AI 化が進み、チャットボットの使用が増加しているため、実際の人間と話す特権はますます稀になっています。今日に至るまで、LinkedIn プロフィールを確認できません。私の現在の電話番号を尋ねたにもかかわらず、LinkedIn が使用する本人確認プラットフォームである Clear は、6 桁のコードを私のメールアドレスにテキストメッセージで送信し続けます。 古い 電話番号。何らかの方法でクラウドから呼び出されます。もちろん、問題を解決するために相談できる人はいません。しかたがない。
私たちの技術がこれほど進んでいるのに、なぜ機械にそれが実際に私たちであると信じ込ませるのがこれほど難しいのでしょうか?
ソーシャルネットワークやオンラインショップから締め出されるのは非常に迷惑です。しかし、それは、私がジャーナリズムの仕事を解雇された後、失業手当に登録しようとしたときに経験した悪夢に比べれば、何でもありません。
ペンシルバニア州政府は、Web サイトへのログインと失業などのサービスの本人確認を処理するために、その名前にふさわしい ID.me サービスを使用しています。 ID.me はその Web サイト上で、消費者に「自分であることを簡単に証明できる 1 回のログイン」を提供するという使命のもと、19 の連邦機関、35 の医療関連組織、600 以上のオンライン ストアとの統合を誇っています。問題が 1 つだけあります。ID.me は、デジタル ID を電話番号に結び付けています。
給付金を請求するためにペンシルベニア州の失業関連サイトにログインしようとしたとき、ID.me アカウントをすでに持っていることがわかりました。おそらく、以前にアクセスしたことのある他の政府サイトから取得したものと思われます。もちろん、そのアカウントは私の古い電話番号にリンクされていました。
その番号にアクセスできず、私のパスワードが何だったのか見当もつきませんでした。私の唯一の選択肢は、MFA を回避して ID.me アカウントへのアクセスを取り戻すためのリクエストを会社のカスタマー サービス ヘルプ デスクを通じて送信することでした。
ID.me の自称「仮想エージェント」である Roy から自動確認メールを受け取った後、私のリクエストは 48 時間無視されました。複数回のフォローアップと多大な忍耐を経て、ついに本物の人間との電話スクリーニングを設定することができました。最初のリクエストから 10 日後、私はカスタマー サービス エージェントと電話をしていました。エージェントからいくつかの指示が電子メールで届きました。いくつかのフォームに記入し、パスポートと社会保障カードのデジタル スキャンとともに返送してください。通常、そのような機密情報を電子メールで送信すると、私は躊躇するでしょうが、この場合、ID.me カスタマー サービス エージェントは私の身元と経済的安全を人質に取っていたため、私は彼の要求に何でも従う傾向がありました。 ID.me のサイバーセキュリティ慣行が顧客サービス業務よりも堅牢であることを祈るばかりでした。
30 日間、さまざまな本人確認書類の提出と再提出を繰り返した後、ようやくアカウントにログインできるようになりました。その時までに、私は失業のニーズに昔ながらの方法で対応していました。電話で手動で申請書を提出するというものでした。この手続きには、耐え難いほど退屈な電話を 2 回かけて 3 時間近くかかりました。 (ID.meはコメントの要請に応じなかった。)
以前は私たちの生活を簡素化すると約束されていたテクノロジーが、今ではすべてをさらに複雑にしているように思えます。自動セルフレジが食料品店に導入される前は、商品をスキャンし忘れたと勘違いした混乱した機械によってチェックアウトプロセスが中断され、人間の助けを待たなければならないということはありませんでした。革新的な「スマート」テクノロジーが現代の自動車に組み込まれているにもかかわらず、私たちはソフトウェアの不具合一つで自動車から締め出されてしまうのではないかと感じることがよくあります。
時は 2025 年です。私たちはロマンチックな関係を築くことができる人工知能を持っています。拇印でラップトップのロックを解除したり、顔をスキャンしたりして、オンライン ショッピング アカウントにすぐにアクセスできるようにする必要があります。私たちの技術がこれほど進んでいるのに、なぜ機械にそれが実際に私たちであると信じ込ませるのがこれほど難しいのでしょうか?
私の言葉をそのまま信じる必要はありません。私の新しい電話番号を私より前に知っていたキースに聞いてください。キースが誰なのかは分かりませんが、彼も、要求したことのない 6 桁の確認コードを含むテキストを私が受け取り続けるため、Web サイトやアプリに戻るのに苦労していることは知っています。最終的にはほとんどのアカウントに戻りましたが、キースはまだ苦労しているようです。
キース、外出中の場合: 処方箋は Rite Aid で受け取る準備ができています。
ジョン・ポール・ティトロウ フリーランスのジャーナリストであり、テクノロジー、デジタル カルチャー、旅行、メンタルヘルスについて執筆しています。
/cdn.vox-cdn.com/uploads/chorus_asset/file/24504725/HT015_S_Haddad_ios_iphone_14_grayscale.jpg?w=100&resize=100,75&ssl=1 "iPhone で Apple Intelligence をオフにする方法")
