SMS認証は危険なだけじゃない 山奥では使えないってホント？

その制限、もうなくなったんだって。
FiとVoice、同じアカウントで持てるようになったらしいよ。

彼女にはmicrocellかfemtocellが必要だよ。
プロバイダに相談して、家や職場の電波が悪いって説明すれば、ネット回線に繋いで使う無料のセルラーAPを送ってくれるはず。
光回線とかがあるなら、電波増幅するだけのタワー型ブースターじゃなくて、RJ-45入力とGPSアンテナが付いてるやつが必要。近くのタワーから何マイルも離れてて山奥ならね。
店で働いてるんだけど、金属の壁で川沿いだから圏外なんだ。
前は坂を上って電話してたけど、客とか従業員がそれぞれのプロバイダ（ATT、Verizon、T-Mobile）に電話したら、全部femtocell送ってくれたんだ。
おかげで、みんなのスマホはタワーじゃなくてうちのISP経由でデータ通信してるなんて気づかないくらい、普通に使えるようになったよ。2FAコードもMVNOもね。
MVNOじゃなくて、Verizonの直契約に切り替えないとダメかもだけど。

T-Mobileはもうそういう機器は提供してないみたいだよ。
https://www.t-mobile.com/support/coverage/4g-lte-cellspot-se…

T-Mobileは必要ないのかもね。
俺、かれこれもう10年近くT-MobileのWiFi calling使ってるけど、ばっちり動くよ。ショートコードのSMSも受け取れるしね。
だから、T-Mobileでfemtocell使う必要性って分からないんだ。
だからこそ、今回の記事（TFA）読んで、WiFiが万能じゃないケースがあるって知って驚いたんだよね。

Wi-Fiも携帯の電波もどっちもダメか、弱い場所がユースケースだよ。
T-Mobileのユーザーでそういう状況の人、たくさんいるだろうし。

Wi-Fiも携帯の電波もどっちもダメか、弱い場所がユースケース？
それ、記事（TFA）の中にはなかったよ。

うちはT-Mobileのfemtocellに切り替えたんだ。まさに、Wi-Fi callingが最悪だったから。
しょっちゅう通話が途切れるし、グループSMSもダメ、SMS/RCSの画像も送れない、電話サービス自体が使えないことも多かったんだ。
femtocellにしたら全部直って、それ以来ずっと問題ないよ。

＞ She just needs a microcell/femtocell.
あれもあれで問題あるんだよ。
特に、GPS信号を受信できないとダメなんだけど、山岳地帯だとそれも難しいことが多いんだ。
俺、microcell何年も使ってたけど、悪夢みたいに不安定だった。
定期的に（しかもランダムに）ただ動かなくなるだけじゃなくて、なんで動かないのか全く分からなかったんだよ。

GPS受信する必要はないんだよ。ただ、受信できないとe911サービスのトラブルになるんだ。
それ以外の機能には影響ないよ。少なくともT-Mobile版はね。

俺が持ってたやつ、AT&T Microcellは、うちの携帯プロバイダが提供してた唯一のモデルだったんだけど、GPS信号がないと動かなかったんだよ。

俺が持ってたAT&T MicrocellはGPS信号がないと動かなかったんだ．唯一プロバイダーが提供してたモデルだよ．変だよな，だって別の人が持ってたAT&T MicrocellはGPS信号いらなかったって言うんだ．シンク下のキャビネットで，大きいアパートの奥深く，GPS信号なんて絶対入らなかったのに．数年前に引っ越してからは使ってないけどね．もしかしたら変わったのかも．

これ見てよ．https://paulstamatiou.com/review-att-3g-microcell
”MicroCellに電源とイーサネットを繋いだ後，3GとGPSのLEDが点滅し始める．あれ，GPS？そう．テスト市場外で動かないようにGPSで位置情報をロックする必要があるんだ．AT&Tは90分もかからないって言ってるけど，俺は5時間くらいかかったよ．”
これが根本的な問題．進行状況が分かる方法が全くないし，永遠に動くかどうかも分からなかった．文字通りの現実世界の停止問題だよ．

俺も何年か前にVerizonのmicrocellデバイスで似たような経験したよ．GPS固定がないとクライアントにサービス提供しなかった．

もしかしたら https://av.tib.eu/media/36387 とか https://www.eevblog.com/forum/rf-microwave/sdr-as-gps-emulat… が可能性としてあるかもね．

大手携帯キャリアが，よく知らない信頼できないISP経由で，勝手にセルタワーを運用させるのを許してるのが驚きだよ．お客さんが範囲内に入ったら自動でそっちに切り替わるのに．普通はもっとイメージとかエンドツーエンドのコントロールを気にする会社なのに，信じられないくらいおおらかだね．

＞大手携帯キャリアが，よく知らない信頼できないISP経由で，勝手にセルタワーを運用させるのを許してるのが驚きだよ．
オフィスビルにはたくさんあるよ．個人のやつは，政府が特定の範囲までネットワークを構築するよう要求してる問題をごまかす方法だと思う．ただ建てないで，誰かが文句言ったらこれをオファーするんだよ．

オフィスビルにたくさんあるよ．個人のやつは，政府が特定の範囲までネットワークを構築するよう要求してる問題をごまかす方法だと思う．
あと，オフィスや residential tower の高い階にいる人たちのせいもある．建物には電波を最小限にする窓が付いてるから，携帯信号が入ってこないんだ．キャリアは基地局を通りから30フィート上に建てるけど，600フィート以上上には建てないからね．

Femtocellはキャリアによって遠隔制御されてるんだ．GPS位置情報（とたぶんスペクトルセンシング）が必要で，バックホールはVPN経由だと思うよ．当然，QoSは保証できないけど，信号がないよりはマシだね．（面白いトリビア：うちのオフィスはAT&T MicroCellsに数万ドル払ったのに，GPS信号が得られなくてアクティベートできなかったんだ．）

えーと，4G LTE以降ならWi-Fi callingと basically 同じだよ．IMSっていう技術で動いてて，IPSECとか使ってるんだ．Wi-Fiに繋がってるときはIWLANモードになってWi-Fi callingとかSMS，RCSが使える．大事なのはISPとキャリアの良いピアリングだけだよ．

いや，そうじゃない．コンシューマー向けfemtocell（AT&T Cell Booster, Verizon LTE Network Extender）はキャリアのRAN内の実際のeNodeBなんだ．IPSECトンネルで戻ってLTEラジオとして動く．AT&TとかT-Mobileのは改ざん防止機能もあったよ．AT&Tは新しいCell Booster Pros（5G対応）だと月額30ドルとか取るみたい．Wi-Fi Callingは別のSeGWを使うから違うんだよ．

Cell boosterとかnetwork extender（eNodeBSのことね）ってさ、記事の山奥みたいな状況でほんとに役立つの？
それともWi-Fi callingみたいに、”5桁のショートコードからのメッセージはWi-Fi callingで対応してないことが多い”みたいな同じ問題になっちゃうのかな？
なんか情報追加してくれてありがとう、こういうデバイスのことすっかり忘れてたわ。

もしそのデバイスがリモートで管理されてて、全部キャリアにIPSECで戻るなら、どんなネットワークに繋がってても関係ないでしょ？
悪くても接続が悪くなるくらいで、それ以上の危険はないと思うけどな。

Verizonの4G LTE Network Extenderを無料で使ってるんだけど、自宅から離れると電話が切れちゃうのが唯一の問題かな。
1月に911にかけた時も、車を動かして通りに出たら切れたよ。また電波入るとこに戻ったら911のオペレーターからかけ直してきたけど。
数ヶ月後にVerizonから住所の位置情報編集頼まれたんだ。近いうちにテストしないことを願ってるけどね。

ローミングしてる人にとってもこれは困るって指摘もあったけど、完全に同意だわ。
俺の解決策はこれ：海外ローミングする時はSIMを自宅の予備Androidに入れっぱなしにして充電しとくんだ。
AndroidにSMSをAPIに転送するアプリがあってさ、例えばこれ→f-droid.org/packages/tech.bogomolov.incomingsmsgatew….
SMS受け取るたびにこのAPIに転送するの。そしたらAPIがメッセージ全部をメールで送ってくれるんだ。
もう何年かこの設定で問題なく使ってるよ。ローミングしてない時もメインのスマホでこれ使ってるから、PCでSMS OTP必要な時もスマホ探さなくてもメールで受け取れるから楽なんだ。
（Note : これはMMSでは動かないけど、俺は必要ないからいいや）

”When I am roaming internationally, I leave my SIM card in a spare android at home plugged into a charger. Android has an app that forwards SMS to API …”
これって「2FA Mule」って呼ばれてるんだよ。
kozubik.com/items/2famule/
俺もこれもう4年以上やってて、ほんと素晴らしいんだ。やるね君！

これ、スマホにログインしてないと動かないやり方だと、近いうちに動かなくなるかもね。
https://mashable.com/article/android-smartphones-automatically-reset-if-not-used-for-months
（リンク先は長いので短く表示）

もしスマホがWiFi callingとDual SIMに対応してるなら、行く国のデータ専用eSIMを入手すれば、メイン回線のテキストはサブのeSIMのデータ通信経由で受け取れるよ。

俺も似たようなことやったよ。古いAndroidスマホを家に置いて、昔のmessages.android.com（今はgoogle.comだと思う）にノートPCからログインして、旅行から戻るまでセッションが切れないか祈ってた。
でも最近はWiFi callingでSMS届くようになったし、Google VoiceじゃダメでほんとのSMSが必要でも、WiFi待てばいいやって感じかな。

EU圏のある国から別のEU圏の国に住んでるんだけど、ローミングのせいでSMS 2FAがほんと嫌なんだ。
まだ元の国のSIM持ってるんだけど、プリペイドで年2回チャージして維持してる感じ（プリペイドだから高いオプション買わないとローミング使えないし、元の国に2ヶ月に1回くらいしか戻らないならね）。
元の国の特定サービスでSMS 2FA必要なのに、そのサービスは国内の番号以外ダメだったり、他の2FAタイプを許可してないんだよ。
だから結局スマホの2FAは役に立たないし、ブロックされちゃうんだよね。

これローミングとどう関係あるの？ヨーロッパでも外でもよくローミングするけど、SMS受け取れなかったことないんだけど。

技術的にはSIMはローミングしてないって言うけど、 physically は home network 外（海外）でローミングしてるんだよ。僕の国のプランだと international roaming 対応してないか、できてもめちゃくちゃ高くて使う気になれないんだよね。

アメリカの多くのキャリアはローミング時にSMSごとに金取るんだよ（まるで2006年みたいに）。

確かにね、でも 2FA って SMS 受信するだけじゃん、だからどうしたの？

アメリカのプランによっては SMS 受け取る側にも金取るんだよ。それは Europe では聞いたことないから、君には意味不明なんだろうね、だから混乱してるんだよ。あと USA の prepaid plans や小さい carriers は international roaming やらないこともよくあるよ。

え、マジで？じゃあ Messagebird で安い SMS 1万通買ったら、お前の電話代を ”denial of service” 攻撃できるってこと？何それ、ウケるんだけど。

質問に答えようとしただけだよ: ＞＞ Some of the comments pointed out that this is hostile behaviour for people roaming as well
＞＞ I’m sorry how is this related to roaming?

Google Fi って Wi-Fi で SMS 2 factor messages 全部受信できるんだよ、 short codes も含めてね。電話の電源入ってなくてもいいし、電話ぶっ壊れてもどんな device の web browser からでも受け取れる。超お気に入りの機能。月 $20 から使えるよ。Fi は前は US Cellular と提携してたから一部の mountain areas でもサービス良かったらしい。今 US Cellular がどうなってるか知らないけどね。

アメリカ国外に12年住んでるけど、 Google Fi 使うまで SMS でいつも困ってたんだ。多くの銀行は今時 SMS を必須にしてるから問題なんだよね。 virtual number service はだめ、 (1) VOIP numbers は banks に “blacklisted” されてるか (2) Simply SMS が届かない。 Google Fi は cell phone service がなくても Wi-Fi で使える。 data は USA 外で a month 使うと shut off だけど、$25/month で SMS と voice もらえるなら happy だよ。

＞ Google shuts off the data on Fi after you’ve been outside the USA for a month. No problem, I’m happy to pay $25 a month for a ’dataless’ connection that gives me SMS and voice.
Specific に言うと、俺は extensively travel してて、 US にもよく行くけど、一度に a month 以上 outside にいることがよくあるんだ。 data を too long 使いすぎると shut off するみたい。

Google Fiでイギリスに3ヶ月いたけど、ずっとデータ通信使えたよ。国によって違うのかな？それとも何か他の理由かな？データはそんなに使いまくらなかったけど、別に避けてたわけじゃないんだ。

俺の場合はシャットオフされたことないって話なんだ。基準はよくわかんないんだよね。ただ、EUで数ヶ月データ使いまくってた友達は切られちゃったみたい。

世界中の他の値段と比べたら、そもそもGoogle Fiのデータなんて使いたくないでしょ。現地のeSIMとか“旅行用”eSIMとか手に入れて、デュアルSIMで使った方がいいよ。

Sailyみたいなアプリを使えばデータ専用のeSIMパッケージは見つけやすいんだけど、海外旅行中に“本物の”電話番号をくれるサービスを見つけるのが難しいんだよね。なんかおすすめある？

直接の経験はないけど、TelloとかRed Pocket、Good to Go MobileってMVNOを聞いたことがあるかな。eSIMで有効化できて、WiFi callingができるんだよね。ネットにつながってればUS電話番号としてSMS/電話もできる。Airaloみたいなプロバイダは現地番号も扱うけど、データ専用より高くなる。データeSIMと組み合わせて使うのも手だよ。

rcsとか”messages for web”って使える？
この前確認した時は、“fi syncing”を有効にするとrcsの機能が無効になって、“cellphone is off”の時のテキストとか音声（昔のhangouts）が使えるようになるって感じだったんだ。今もそうなのかな？テキストとか音声に使うURLはどこ？（hangouts.google.comはGoogle Chatにリダイレクトされるね）

うん、やっぱりrcsは無効になるね。iPhoneがついに対応した今となっては超ダサいよね。Googleがいつか直してくれるのを期待してるけど、あんまり当てにはしてないな。hangoutsがなくなった時にこの機能が消えなかったのは嬉しいよ。
URLはhttps://messages.google.com/web/に変わったよ。

Google Fiはデータ1GBあたり10ドルかかるんだよね。US Mobileの方が安いし、USのトップ3プロバイダが使えるよ。

不都合なことってどこにでも絶対あるんだよね。2FAのサポートに関わったけど、どの方法もイマイチ。SMS 2FAは安全じゃないけど普及してて復旧早い。TOTPアプリは安全だけど復旧が大変。Yubikeyはコストと復旧問題。政府運営システムはプライバシーとか資金で無理。SMS 2FAが山奥でダメなのはわかるけど、2FA自体がどこでも大変なんだよ。

プライバシー擁護派が発狂する＞認証のプライバシーは（例えば投票とか）確かに懸念になるかもしれないけど、ここでは関係ないと思うんだ。
銀行に「自分が誰か」って確認してもらいたい場合、銀行にはもう俺の詳しい情報は全部伝えてるわけだし、俺は自分のプライバシーをはっきり、そして公然と放棄してることになるよね。俺はハッキリ正確に識別してくれって頼んでるんだから。

銀行とかさ、本人確認が必要なところで政府の認証を使うのはプライバシー的には大丈夫だろうね。でもさ、最近のサイトってほとんど2FA使ってるけど、ぶっちゃけ本人のIDを知る必要ない場合が多いじゃん。そういうところで政府IDベースの認証使われたら、認証と本人確認がごっちゃになってプライバシーがマジで心配だよ。

本人確認なしで認証する状況って例示してくれる？
中央集権型の認証サービスって、障害点で一つ潰されたら全部ダメになるし、サイバー攻撃の格好のターゲットになるんだよね。
個人的にはTOTPとかYubikeyみたいな個人用トークンが一番強固で、技術的にも分かりやすい解決策だと思うな。

アカウント作成時に第三者サービスを介さずにユーザーが登録するTOTPとか、使い捨て携帯（burner phone）のSMSとかだね。どっちも匿名性はあるよ。同じ認証方法を複数のサイトで使うと紐づけられる可能性はあるけど、どちらも実際の身元と結びつける必要はないから。

政府が俺の代わりにアカウントにアクセスし直せるシステム？それはつまり、政府が俺に知らせずに俺のアカウントにアクセスできるシステムってことだろ。冗談じゃないね。もし政府がハードウェア交換だけして、アクセス再確立は俺次第ってことなら、それはYubikeyと何も変わらないけど。

まあ、ほとんどの場合はさ、政府は召喚状を使って君のデータを全部手に入れられるんだよね。裁判官に秘密条項付きの召喚状に署名させることもできるだろうし。

＞Yubikeyとかはコストとリカバリーの問題がある
キーを複数持っていれば、リカバリーは比較的簡単だよ。全てのキーを登録しておけば、一つ無くしても別のキーを使って新しいのを登録できるから。

そうだねー、でもそれって使ってる全てのサイトで自分で手動でやらないといけないんだよね。もっと広くサポートされるようになったら結構大変そう。

ああ、そんなことするユーザーなんて絶対いないって。

＞政府が何らかの集中管理を行う
いやー、結構ですありがとう。

他のコメントに激しく同意。期待値高すぎ。去年のことなんだけど、初めてLime scooter借りて乗った時に、VPNの設定ミスでネットが使えなくなっちゃったんだ。そしたらどうやっても乗り終わりの操作ができなくて。GPSで自転車ラックに止まってるのが見えたらしくて、余分にかかった時間は返金してくれたけどさ。もしスマホのバッテリーが切れたり、外で他に何かトラブルあったらどうすんだろって思ったよ。