Twitter、無課金ユーザーに対しSMSの2段階認証を廃止。理由は「電話会社の迷惑行為」？

Twitterは2月18日、Twitter Blueを契約しないユーザーを対象にSMSの2段階認証を廃止すると発表した。無課金ユーザーは2023年3月20日をもって自動的に無効化される。

廃止する理由として「SMSを使った2段階認証の悪用」と説明しており、イーロン・マスクCEOは電話会社が迷惑行為をしていると説明。ボットアカウントを使い、フェイクのSMS認証メッセージを繰り返し送ることで、SMSの認証費用が6,000万ドル（約80億円）に膨れ上がっていると主張している。裏付ける証拠は提示していない。

Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages

— Elon Musk (@elonmusk) 2023年2月18日

2段階認証はアカウント乗っ取りを回避する有力なセキュリティ対策の1つ。ID/パスワードを入力後、追加で発行される利用期限の決まった認証コードを入力することでサービスが利用できる仕組みだ。追加で発行されるコードを受ける方法は複数存在し、SMS認証は以前より脆弱性が指摘されてきた。マスク氏の介入によって問題のある認証方法を排除したようにも見えるが、”問題のある認証方法”はTwitter Blueユーザー向けには引き続き提供される。

今のTwitterにとって収益性が最優先で、ユーザーは二の次。脆弱性を懸念した認証方法の廃止ではなく、あくまでも不要な売上損失を切り捨てる目的だろう。

認証アプリを使用した2段階を強く推奨

非Twitter Blueユーザー向けに廃止されるのはSMSを使った2段階認証のみ。2段階認証は当然残されており、課金する予定がないユーザーでも、別の手段を使った2段階認証の有効化は強く推奨される。

Google Authenticatorアプリ（iOS版 / Android版）を使い、Twitterのセキュリティ画面から有効化する。公式アプリでは以下の手順で行う。

• アプリのプロフィールアイコンをタップ
• 「設定とサポート」内の「設定とプライバシー」をタップ
• 「セキュリティとアカウントアクセス」をタップ
• 「セキュリティ」をタップ
• 「2要素認証」をタップ
• 「認証アプリ」のトグルを有効化する
• Twitterのパスワードを入力し、画面に従う

QRコードの読み込みなどiPhone上で設定しづらい仕組みとなっており、Mac/PCを使い「セキュリティとアカウントアクセス」から設定したほうがスムーズだ。

脆弱性がありながらもSMS認証を使った2段階認証の利用者数が一定数いる理由は、スマートフォン単体で2段階認証のセットアップが面倒だからだろう。