【要点】

◎パスワード不要のマジックリンク認証に、事業者側の実装不備で情報漏えいや乗っ取りが起き得ると研究で判明。推測可能なURLトークンが原因とされた (ITmedia)

【要約】

SMSで届くURLをクリックするだけでログインできる「マジックリンク認証」について、業者側の設計不備により個人情報流出やアカウント乗っ取りの恐れがあるとする研究結果が公表された。米ニューメキシコ大学などの研究チームは、約3300万通のSMSを分析し、177サービス・701エンドポイントで深刻な脆弱性を確認。特に、推測や連番が可能なトークンをURLに使っていた事例では、他人のアカウントや個人情報を参照・改ざんできる可能性があった。一方で、短い有効期限や暗号学的に安全なトークンを用いれば、マジックリンク自体は有効な認証手段になり得るとしている。

【ニュース】

◆パスワード不要「マジックリンク認証」に潜む危険　“業者側の不備”でアカウント乗っ取りの恐れも (ITmedia, 2026/01/28 08:00)
https://www.itmedia.co.jp/news/articles/2601/28/news043.html