Here is the blog post, written specifically for My Core Pick.

Why It’s Time to Ditch SMS Codes: Switching to Authenticator Apps to Stop SIM Swapping

明日の朝、目が覚めて携帯電話に手を伸ばすところを想像してみてください。

通知やメール、友人からのメッセージを期待しているでしょう。

しかし、画面の隅には「圏外」の文字。

不具合だと思い、再起動します。それでも変化はありません。

ノートパソコンからメールにログインして問題を報告しようとします。

しかし、パスワードが通りません。

「パスワードをお忘れですか」をクリックします。サイトはあなたの電話番号に復旧コードを送信したと伝えます。

しかし、あなたにメッセージは届きません。届いたのは、他の誰かです。

これはSF映画の筋書きではありません。これこそが SIMスワッピング の現実であり、驚くべき速さで急増しています。

何年もの間、二要素認証（2FA）はセキュリティのゴールドスタンダードだと言われてきました。

そして、それは事実です。

しかし、すべての2FAが同じように作られているわけではありません。

もしあなたがログインコードを受け取るためにまだSMSテキストメッセージに頼っているなら、あなたはデジタルライフの裏口を大きく開け放っていることになります。

ここ My Core Pick では、あなたのデジタルツールキットを最適化することに情熱を注いでいます。

今日は、なぜSMSが破綻しているのか、SIMスワッピングとは実際に何なのか、そして認証アプリを使ってアカウントをどのようにロックダウンできるのかを解説します。

The Silent Threat: What is SIM Swapping?

ツールを切り替える必要がある理由を理解するには、まず脅威を理解する必要があります。

SIMスワッピングは、個人情報の盗難（ID窃盗）の一種です。

驚くほどローテクです。

ハッカーは物理的に携帯電話に侵入する必要はありません。

デバイスにマルウェアをインストールする必要もありません。

彼らはただ、携帯電話会社を騙すだけでいいのです。

How the Attack Works

攻撃者はあなたに関する情報を少しだけ集めます。

これはデータ漏洩、SNS、またはフィッシングメールから入手される可能性があります。

彼らは携帯電話会社のカスタマーサポートに電話をかけます。

あなたのふりをします。

携帯電話をなくした、あるいは新しい機種を買ったので、新しいSIMカードを有効にする必要があると主張します。

カスタマーサポートの担当者がその話を信じてしまえば、あなたの電話番号はハッカーのSIMカードに「移行（ポート）」されてしまいます。

The Immediate Consequence

切り替えが行われた瞬間、あなたの携帯電話は不通になります。

ハッカーの携帯電話が、あなたのすべての通話とテキストメッセージを受信するようになります。

彼らはすぐにあなたの銀行、メール、暗号資産取引所へ向かいます。

「パスワードをお忘れですか」を押します。

サービスがSMS認証コードを送信すると、それはハッカーのもとへ直行します。

彼らはパスワードを変更し、あなたを締め出します。

これは数分のうちに起こります。

Why SMS 2FA is the Weakest Link

これほど脆弱なのになぜSMSが選択肢として存在するのか、不思議に思うかもしれません。

答えは「利便性」です。

誰もが電話番号を持っています。誰もがテキストメッセージの読み方を知っています。

しかし、SMS（ショートメッセージサービス）は1980年代に構築されたものです。

機密性の高い銀行情報を扱うための安全な通信経路として設計されたわけではありません。

The Protocol Problem

一般的に、SMSメッセージはエンドツーエンドで暗号化されていません。

それらは傍受可能な古い信号プロトコルを経由して移動します。

しかし、最大の欠陥は技術そのものではありません。

「人的要素」です。

あなたのセキュリティは、携帯電話ショップの最低賃金のカスタマーサポート担当者に完全に依存しています。

もし彼らが騙されたり（あるいは買収されたり）すれば、あなたのセキュリティは崩壊します。

私たちは、セキュリティは通信事業者の手ではなく、あなた自身の手にあるべきだと信じています。

だからこそ、本人確認の手段としての電話番号から脱却する必要があるのです。

Enter the Authenticator App: Your Digital Bodyguard

では、代替手段は何でしょうか？

答えは 認証アプリ（Authenticator App） です。

Google AuthenticatorやMicrosoft Authenticatorという名前を聞いたことがあるかもしれません。

これらのアプリは、時間ベースのワンタイムパスワード（TOTP）を生成します。

複雑に聞こえるかもしれませんが、ユーザー体験は実際にはSMSよりも高速です。

How It Works

認証アプリを設定する際、ウェブサイト（GmailやAmazonなど）から提供されるQRコードをスキャンします。

これにより、その特定のデバイスとウェブサイトの間に秘密のリンクが確立されます。

アプリは6桁のコードを生成します。

ここが重要な違いです：コードは30秒ごとに変わります。

コードはデバイス上でローカルに生成されます。

携帯電話の電波は必要ありません。

Wi-Fiも必要ありません。

あなたの電話番号が何であるかは関係ありません。

たとえハッカーがSIMスワップであなたの電話番号を盗んだとしても、彼らはコードを生成できません。

侵入するには、ロック解除されたあなたの物理的な携帯電話が必要です。

これはセキュリティの大幅なアップグレードです。

My Core Pick: The Best Authenticator Apps to Use

App Storeで検索すると、何十もの選択肢が見つかるでしょう。

素晴らしいものもあれば、広告だらけのものもあります。

あなたのワークフローに合ったものを選べるよう、最も人気のあるオプションをテストしました。

1. Google Authenticator

これは認証アプリの元祖です。

非常にシンプルです。

歴史的に、最大の欠点は携帯電話を紛失するとコードも失われることでした。

しかし、Googleは最近クラウド同期機能を追加しました。

Googleのエコシステムに深く浸かっているなら、これは堅実で余計な機能のない選択肢です。

2. Microsoft Authenticator

仕事でOutlookやOffice 365を使用しているなら、これを入手してください。

Microsoftアカウントの場合、「プッシュ」通知機能が使えます。

コードを入力する必要さえなく、携帯電話で「承認」をタップするだけです。

パスワードマネージャーも内蔵されていますが、その機能を使わなくても構いません。

堅牢で信頼性が高く、企業レベルの品質です。

3. Twilio Authy

長い間、Authyは技術愛好家のお気に入りでした。

主なセールスポイントは、優れたマルチデバイス・サポートです。

携帯電話とタブレットの両方にインストールできます。

携帯電話を紛失した場合でも、そのデバイスへのアクセスを取り消し、タブレットを使用することができます。

インターフェースはクリーンで使いやすいです。

巨大テック企業とは一線を画しており、プライバシー擁護者の中にはこれを好む人もいます。

4. 1Password or Bitwarden

究極の利便性を求めるなら、パスワードマネージャーに目を向けてください。

1PasswordやBitwardenのような有料パスワードマネージャーには、TOTP生成機能が組み込まれています。

ログインする際、パスワードマネージャーがユーザー名、パスワード、そして2FAコードを自動的に入力してくれます。

シームレスなログイン体験が生まれます。

ただし、これにはセキュリティ上のトレードオフがあります。

パスワードと2FAコードを同じ場所（パスワードマネージャー）に保管すると、技術的には単一要素認証にレベルを下げてしまうことになります。

重要度の高いターゲット（銀行など）については、2FAコードを別のアプリで管理することをお勧めします。

一般的なアカウント（NetflixやRedditなど）であれば、パスワードマネージャーを使用しても全く問題なく、非常に便利です。

How to Make the Switch (Without Getting Locked Out)

SMSからアプリへの切り替えは手ごわく感じるかもしれません。

アカウントから締め出されることを心配するかもしれません。

これを苦痛なく行うためのシンプルなワークフローがあります。

すべてのアカウントを1日でやろうとしないでください。

「コア・スリー（中核となる3つ）」から始めましょう：メール、銀行、そしてパスワードマネージャーです。

Step 1: Login and Locate

サービス（例：Googleアカウント）にログインします。

セキュリティ設定に移動します。

「2段階認証プロセス」または「二要素認証」を探します。

Step 2: Add the App BEFORE Removing SMS

まだ電話番号を削除しないでください。

「認証アプリを設定」のオプションを選択します。

画面にQRコードが表示されます。

携帯電話で選択したアプリを開き、「+」ボタンをタップします。

画面をスキャンします。

Step 3: Verify and Test

ウェブサイトは、機能することを確認するために携帯電話に表示されている6桁のコードを入力するよう求めます。

確認が済んだら、ログアウトして再度ログインします。

アプリのコードを使用して、すべてがスムーズに機能することを確認します。

Step 4: The Cleanup

アプリが機能することを確認したら、設定に戻ります。

サイトが許可している場合は、2FAの手段として登録されている電話番号を削除します。

一部の銀行では電話番号の登録が必須ですが、削除できる場合は削除してください。

これにより、もしSIMがスワップされても、ハッカーがテキスト経由でコードを要求する手段がなくなります。

The Vital Step Everyone Forgets: Backup Codes

認証アプリには1つの大きなリスクがあります。

もし携帯電話を海に落としたらどうなるでしょうか？

コードはデバイス上で生成されるため、締め出される可能性があります。

だからこそ、バックアップコード（またはリカバリーコード）が不可欠なのです。

Printing Your Keys

ウェブサイトで2FAを設定すると、ほぼ必ず8〜10個の「バックアップコード」のリストが表示されます。

印刷または保存するように指示されます。

この画面を無視してはいけません。

これらは1回限りのマスターキーです。

携帯電話を紛失した場合、これらのコードの1つを使用してアカウントに入り、新しい携帯電話を設定することができます。

Storage Strategy

これらのコードを印刷してください。

家の物理的なフォルダや、耐火金庫に入れてください。

あるいは、暗号化されたパスワードマネージャー内のセキュアノートとして保存してください。

単にスクリーンショットを撮ってデスクトップに放置してはいけません。

これらのコードは家の鍵と同じように扱ってください。

Conclusion: Take Control Today

私たちは、デジタルアイデンティティが物理的なアイデンティティと同じくらい重要な時代に生きています。

セキュリティをSMSのテキストメッセージに頼ることは、玄関に鍵をかけたのに、マットの下に鍵を置いておくようなものです。

正直な人は止められるかもしれませんが、それを探している犯罪者は止められません。

認証アプリへの移行は、1アカウントあたり数分で済みます。

しかし、それによる安心感は永続的です。

あなたは自分を守るために携帯電話会社に頼るのをやめるのです。

自分のセキュリティを自分で管理し始めるのです。

上のリストからアプリを選んでください。

今日、メインのメールアカウントから始めましょう。

切り替えを行いましょう。

未来のあなた（そしてあなたの銀行口座）は、きっと感謝するはずです。