「SMSは認証に使わないで」　米CISA、モバイル通信を保護する8つのベストプラクティスを公開：中国系ハッカー集団によるサイバー攻撃を受け

1. エンドツーエンドの暗号化通信のみを使用する

　CISAは、「Signal」や同様のアプリなど、E2E（エンドツーエンド）の暗号化を保証する安全な通信用の無料メッセージングアプリケーションを採用することを推奨している。こうしたアプリは通常、1対1のテキストチャット、最大1000人の参加者によるグループチャット、暗号化された音声通話やビデオ通話をサポートしている。プライバシーを強化できるメッセージや画像の消失機能も備えていることがある。

2. フィッシングに強いFIDO（Fast IDentity Online）認証を有効にする

　FIDO認証は、MFA（多要素認証）を回避するハッキング手口に対して効果的だ。使用可能な場合は、「Yubico」や「Google Titan」などハードウェアベースのFIDOセキュリティキーが最も効果的だが、FIDOパスキーも許容可能な選択肢だ。

3. SMSベースのMFAから移行する

　SMSを認証の第2要素として使用しないようにする。SMSは暗号化されていないため、通信事業者のネットワークにアクセスできる脅威アクターがメッセージを傍受して読めるからだ。

4. パスワードマネジャーを使用して、全てのパスワードを保存する

　一部のパスワードマネジャー（「Apple Passwords」「LastPass」「1Password」「Google Password Manager」「Dashlane」「Keeper」「Proton Pass」など）は、弱いパスワード、再利用されたパスワード、流出したパスワードについて自動的にアラートを出す。これらの中には、認証コードを生成するものもある。

5. 通信事業者PINを設定する

　ほとんどの通信事業者は、携帯電話アカウントに追加のPINまたはパスコードを設定する機能を提供している。このPINは、アカウントへのログインや電話番号の移行など、機密性の高い操作を完了する際に必要となる。

6. ソフトウェアを定期的に更新する

　モバイルデバイスの自動更新を有効にし、OSとアプリケーションにパッチをタイムリーに適用する。

7. 携帯電話メーカーの最新バージョンのハードウェアを選ぶ

　新しいハードウェアには、古いハードウェアではサポートできない重要なセキュリティ機能が組み込まれていることが多い。ソフトウェアを更新するだけでは、利用可能なセキュリティ上のメリットを最大限に享受することはできない。

8. 個人用VPNを使わない

　個人向けVPNは、インターネットサービスプロバイダー（ISP）からVPNプロバイダーへと残余リスクを移すだけであり、多くの場合、攻撃対象領域を拡大してしまう。