正式サービスを4月8日から開始した楽天モバイルだが、音声、SMSなどを提供するRCS(Rich Communication Services)アプリ「Rakuten Link」に問題がある、というインターネット上の情報が注目を集めている。利用開始時のSMS認証が電話番号で通過するというもので、自分になりすました他者がRakuten Linkアプリを使えてしまう危険性があった。

  • Rakuten Linkアプリ。通話、SMSなどの機能を搭載している

Rakuten Linkは、国内宛の通話やSMSを無料で利用できる楽天モバイルユーザー専用アプリだ。契約した電話番号での発信や着信など、普通の通話アプリの代わりとして使う。利用するには、インストール後の初回起動のとき、楽天モバイルの契約にひも付けた楽天IDでログインし、さらにSMS認証によって楽天モバイルSIMの所有者であることを認証する。

SMS認証では、自分の(楽天モバイルの)電話番号に一定時間有効のワンタイムパスワード(数字6ケタ)が届き、それをアプリ上で入力すればRakuten Linkの利用が可能になる仕組みだ。なお、このワンタイムパスワードが分かれば、楽天モバイルのSIMを挿入した端末でなくても、楽天IDでログインしたRakuten Linkアプリを認証して利用できるようになっている。

  • Rakuten Linkアプリの認証。まずは楽天IDによってログインすると、SMS認証の画面になるので、ここで楽天IDにひも付いた楽天モバイルの電話番号を指定する

  • その電話番号にSMSで届くワンタイムパスワードを入力する画面。ここで、電話番号の下6ケタでも認証できた

本来、このワンタイムパスワードは毎回異なり、一定時間で利用不可になるのだが、Rakuten Linkでは送付されたワンタイムパスワードが何であろうと、宛先電話番号の下6ケタを入力すれば認証をパスできてしまう。SMSが届かない端末でもRakuten Linkを利用できる反面、電話番号が分かれば他人が勝手に使えてしまう危険性がある。

とはいえ、楽天IDにログインできること、楽天モバイルの電話番号が分かること、という2つの認証を超えなくてはいけないため、誰でも悪用できるわけではない。ただし、楽天IDにログインされた場合、楽天モバイルの電話番号を探すことは可能なので、楽天IDとパスワードが漏洩していると危険性が高まる。

筆者が試した時点では、ログインしたRakuten Linkとは別の端末でRakuten Linkにログインしたところ、複数の端末でログインできる状況だった。しかし、4月13日に試してみると、別の端末でRakuten Linkにログインした場合、もう一方の端末ではRakuten Linkを自動的にログアウトするようになっていた。つまり、一度に一台の端末しかログインできない仕様に変わったようだ。

こうした点から、楽天IDとパスワード、電話番号が漏洩するなどして攻撃者に使われてRakuten Linkにログインされた場合、自分の端末ではログアウトされるため、改めてログインし直すことはできる。ただ、楽天IDとパスワードが漏洩しているため、パスワードを変更されてログインできなくなる危険性もある。楽天IDとパスワードの管理も重要だが、SMS認証ではなく電話番号の一部で認証できてしまうのは問題だろう。

楽天モバイルでは、「もともと楽天IDによる認証に加え、2要素認証としてSMS認証または電話番号下6ケタでの認証を用意していた」と説明。4月13日中にサーバー側のアップデートを行い、電話番号下6ケタによるRakuten Linkの認証機能を無効化する予定だという。サーバー側のアップデートのためユーザー側に作業はいらず、今後は電話番号によるRakuten Linkの認証はできなくなる。