2026/05/11 16:26
Gmail の登録プロセスは現在、QR コードのスキャンとテキストメッセージの送信を必要とするようになりました。
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
Google は、ユーザーがスマートフォンで QR コードをスキャンして認証 SMS を直接端末に表示できるようにすることで、アカウント登録のセキュリティを見直しています。この変更は、第三者の SIM プーリングサービスを利用したり、一時ローカル番号とリンクされたアカウントを販売する悪意のある行為者を特に標的としており、従来の電話偽装や不正なアカウント作成を著しく難しくします。SMS がユーザー自身の端末から発信されるようにすることにより、新手法は利便性よりも端末の健全性を重視し、自動化された詐欺を抑止しています。Google はこの認証基準を 2025 年 2 月までにすべての SMS 認証シナリオに拡大する計画がありますが、QR コードスキャンがまだ全地域で一般的でない場合、展開には遅延が生じる可能性があります。したがって、フィーチャーフォンを利用するか安価なサードパーティの番号サービスに依存するユーザーにとってはこの変化は大きな参入障壁となり、既存のアカウント所有者は携帯電話の番号が悪意のある試行と関連付けられた過去のものとしてマークされた場合に問題が起きるリスクがあります。本質的には、この更新は一時的またはプーリングされた番号を再利用するのを難しくすることでセキュリティを強化し、同時に QR コードのスキャンにより Google に追加の端末情報や位置情報が伝達されることを示唆しています。
本文
私は自ら試してみたところ、QR コードを使った登録はもう不可能になっています。おそらくスマートフォンの QR コードを使用すると、電話番号の確認のためにスマートフォンから Google へ SMS が送信されるようになり、それがセキュリティ上の理由によるものとされています。確かにこの方法は困難性を高め、より安全な対策ではありますが、一方で SMSプールのようなサービスを併用する手段を排除してしまうという問題も生じています。今後、アカウント登録についてどのような方法を採用していくべきでしょうか?
そのような制限はあくまで一般ユーザーに対してのみ及ぼされるものです。Google アカウントは多種多様なマーケットプレイスで長期にわたって売買されており、その事実自体已久く前から知られています。
そもそも一般ユーザーが SMS 検証サービスを利用するケースは稀です。せいぜいプライバシーに関心の高い個人のレベルでしょう。では、一般的なプライバシー意識の高い個人にとって、新しい Google アカウントを作成する最適なアプローチは何なのか?「中古」でアカウントを購入する手もありますが、それが以前誰に関連付けられていたのか全く不明確であり、リスクを伴います。
スコット
2026 年 3 月 9 日午前 9:36(5 つの返信)
もう少し待てば、Google へ SMS を送信するサービスを提供してくれる誰かが現れるでしょう。
まあ… Google は次々と制限を強化していくばかりだ。何とか回避策を見出すのをネットリテラシーの高い人たちに任せるしかねぇな。
ご自信のなさに対する敬意を表しますし、あなたが正しいことを願っています。ただ一つ気になるのは、QR コードによる検証手法が現在、世界中のすべての国で採用されているかどうかです。また、例えばイタリアに短期旅行している場合を考えましょう。イタリアは SIM カードを購入・利用する際に ID 登録を義務付ける国の一つです。私はイタリアにわずか 1 ヶ週間滞在し、そこで自らの ID に紐づいた SIM を購入しました。滞在中、そのイタリアの電話番号を使って「匿名」な Google アカウントを作成し、作成直後に認証アプリおよび YubiKey を用いて多要素認証を有効化、回復用コードも保存しました。これで SMS 検証なしでログインできるようになりました。
その後祖国に戻り、これまで意大利の電話番号に確認されることもなく Google アカウントを使い続けています。私がイタリアに住んでいないため、その番号はすぐに再割り当てされました。数ヶ月にも及ぶ年月をかけて、自分のアカウントを使い続けており、なお電話番号の再確認を求められることもありません。Google は、私が使ったイタリアの電話番号から、私の実際の身元を追跡することは可能なのでしょうか?携帯電話事業者や政府機関は、同じ番号を所持したすべての人の記録を保持していますか?これはあなたが居住する国で調査に値するテーマです。イタリアの番号を使ってわずか数ヶ月保有していたなら、それが他の誰かに割り当てられた後、Google が私の身元を特定できないはずだと私は信じています。実際、Google は過去に使用された全ての電話番号に関する記録を保持していることは間違いありませんが、もう所持していない番号でのアカウント検証は通常認められていません。友人知人は携帯電話番号を変更した際、Google 側に更新忘れをするケースが多く見受けられます。
ph00lt0(カマ)
2026 年 3 月 9 日午後 1:27(8 つの返信)
電話番号偽装技術が存在する背景下で SMS を送信する方法を選ぶのは極めて不自然です。この手法を多要素認証に採用しないことを願います。
2025 年 2 月の記事によると、Google は SMS 認証をすべてこの方法で行う予定だったとのことです。ただし番号偽装の難易度やメッセージの内容など具体的な事情までは把握しにくいのが実情です。また QR コードを読み込んでスキャンした際に、端末の詳細情報や位置情報をさらす可能性について懸念を抱いています。
もう一つ気になるところは「機能限定電話」をお使いの方々です。スマートフォンを持たせることを強いるのは公平なのでしょうか?わずか数年ほど前、私が務めていた上司に機能限定電話を使っている方がいました。四十代前後の比較的若い方で、あえてそのような電話を選んでいたのです。彼がなぜそうしているのかを直接尋ねたこともありませんが、スマートフォンの使い方を理解できないからだと考えられませんでした。もしまだ機能限定電話を使用している方がいるのであれば、それらの方々が変わることを求めるのは不公平です。
さらに以下のような疑問も抱いています:フランスで SIM カードを購入し、その後の日本での使用を想定してください。日本において同じ SIM で Google アカウントを作成する場合、VPN を利用しつついても Google が「現在の所在地は日本」と判定するでしょうか、それとも引き続き「フランス」と判断されるのでしょうか?
スコット
2026 年 3 月 9 日午後 2:41(9 つの返信)
@james1992:なぜいつも否定的な態度なのでしょうか。以前からあなたを無視リストに入れておいたので、答える時間を無駄にする必要はありません。むしろ自らに問うべき質問です。
kama(カマ)
2026 年 5 月 11 日日午後 8:15(12 つの返信)
そこにはセキュリティシステムが働いていると解釈します。一定のメトリクスに基づき、SMS の送信可否を自動的に判断しているようです。私の場合、QR コードが表示される日もあればない日もあり、さらに QR コードを読み込んだ際にも SMS の送信が必要になる時と不要な時があることが確認されています。これは主に代理サーバーの品質やその他の要因によって左右されているものと思われます。