SMS認証とは？仕組みやメリット・導入方法やリスクまで完全解説

SMS認証とは？

SMS認証とは070・080・090などから始まる携帯電話の電話番号宛てに送るSMS（ショートメッセージサービス）を使い、本人確認を行う認証手段の一つです。

ユーザーがログインを試みると、ランダムに生成された4～6桁の数字などの認証コードがショートメッセージで届きます。届いたコードをログイン画面で入力し、一致すればログインが成功します。

SMSは、契約者本人のSIMカードが挿入された携帯電話に送信されます。契約者本人以外がその端末を持ち歩くことは少ないため、本人確認としての精度が高いとされています。

※以下の図はSMS認証のイメージ図です。

本人認証はさまざまな種類があります。SMS認証はICカード認証と同じく「所有物認証」に分類されます。他にもメールでの認証・生体認証や、パスワードなどを用いる知識認証などさまざまありますが、SMS認証は特にメジャーな手段として活用されています。一方、SMS認証も完全に安全とは言い切れず、デメリットや注意点もあります。

当記事では、SMS認証の仕組みやメリット・デメリット、SMS認証の導入方法から活用例など、徹底的に詳しく紹介します。導入を検討中の方は、しっかり当記事の内容を確認しましょう。

SMS認証が本人認証として重要視される理由は？

SMS認証が、本人認証の手段として重要視される理由は、「普及率・確実性」の２つがあげられます。

携帯電話の普及率の高さ

SMS認証を利用する時に必要な携帯電話の普及率は非常に高いため、多くの人が利用できます。本人認証ができないことや、認証の難易度が高いと、サービスの利用自体を辞めてしまう「機会損失」が発生しかねないため、普及率は非常に重要です。

実際に、総務省の令和7年度版の情報通信白書によると、2024年のスマートフォンの情報通信機器の世帯保有率は、90.5%あり、モバイル端末全体では97.0％と普及率の高さを占めています。

参考:「令和7年版情報通信白書」

確実性高く本人に送ることができる

SMSは本人に確実性高く送ることができます。
SMSを受信できるSIMが入った携帯電話はキャリア側の審査を経ているため、本人認証の精度・確実性は高いです。また基本的にSMSは届くと携帯にプッシュ通知として表示されるため、ユーザー側が気づきやすいという確実性の高さがあります。実際に到達率は、当社実績で99.9％^※と非常に高い状態です。

※2022年3月1日～2022年5月31日の当社実績値、圏外・節電・受信・拒否等の事由を除く

SMS認証の方法と仕組み

SMS認証の仕組みは、ユーザー視点と企業視点の流れをもとに紹介します。

ユーザー側のSMS認証の流れ

ユーザーが携帯電話の番号を入力すると、即時（遅くとも数分以内程度）に認証コードが届きます。認証コードは、ログインするたび、また一定の時間経過すると変更されます。※2段階認証では、例えば1回目にIDパスワードを入力したのち、SMS認証などになります。

企業側の認証の流れ

企業側はユーザー、自社システム、SMS認証サービスと主に3か所でのデータの受け渡しがあります。
複雑に見えますが、多くのSMS送信サービスではAPI連携ができます。連携しやすいサービスを選定すれば比較的簡単に導入できます。

SMS認証のメリット

多要素認証・2段階認証において、SMS認証を活用するメリットは主に３つあります。

ユーザーは負担なく手軽に使える

SMS認証は、スマートフォンで受け取った数字などの文字列を入力するのみであるため、手軽でユーザーファーストな本人認証です。

最近では、多くのスマートフォンでSMS認証コードを自動入力する機能も搭載されています。
アカウント開設時など最初にSMS認証に必要な番号を入力すれば、以後はログイン画面にてSMS認証送信画面に遷移したあとは、入力することなく認証することもできます。そのため、非常に手軽といえます。

SMSは到達率・開封率が高く、確実に届く

SMSは到達率が100%に近く、開封率は90％を超えるとも言われており、確実性が高いメリットがあります。
到達率・開封率が高いと言われる理由は主に３つあります。

１．MNPにより電話番号が変わることが少なくなった

MNP（ナンバーポータビリティ）という仕組みによりユーザーが携帯キャリアを変更しても電話番号が変わることが少ない点があげられます。メールアドレスや住所のように「変わってしまったら届かない」ということが比較的少ない傾向です。

２．端末にてデフォルトでプッシュ通知が表示されるため

SMSは通知設定を変更しないかぎり、受信するとデフォルトでプッシュ通知が表示されるためです。携帯電話の操作が得意ではない方でも、認証しやすいと考えられます。

３．SMSは普段使いをしないため、埋もれにくい

「埋もれにくい」という理由があります。SMSは普段コミュニケーションツールとして使われることが少ないことや、SMSは通信キャリア側で不正やなりすましと思われる発信元を除外しているため、比較的迷惑メッセージが少なく、メッセージが埋もれてしまうというケースが少ないです。

導入者側のコストも抑えられる

SMS認証の導入は、料金の面や人的リソースの面でも抑えることが出来ます。
料金の面では、SMS認証を行う際に利用される「SMS送信サービス」の多くは、1通当たり数円規模の従量型料金体系が一般的で、安価に抑えることができます。

人的リソース面についても、SMS認証導入は、SMS認証が可能なサービス・システムを導入し、既存のシステムとAPI連携させるのみであるため、他の認証などと比べ負担を抑えられます。

SMS認証のデメリットとリスク

ここでは、本人認証の手段としてSMS認証を選ぶデメリットを紹介します。

一部でSMS認証を行えないケースがある

MVNO（仮想移動体通信事業者）が提供する格安SIMのスマホを利用しているユーザーで、電話回線の契約をしていない場合、SMSが利用できず、SMS認証を行えないケースがあります。
例えば「050」で始まる番号は、SMS送信機能の追加をしていない場合には、SMSを送受信することができない場合があります。

またSMSを利用したくないという人は「SMS受信拒否」の設定をしている場合があり、正しく届かないケースもあります。

代替手段としてIVRの利用を検討することも重要！

SMSが利用できないユーザーへの代替手段として、通常のSMS認証の仕組みに加えて、SMSとIVR（Interactive Voice Response）といった自動音声再生の仕組みを組み合わせたり、SMSが受信できない方のためにSMSとメールを組み合わせるなど、複数の通知手段を組み合わせることがおすすめです。

端末の紛失時に利用できない

ユーザーが端末を紛失してしまうと、認証コードを受け取れなくなるため、SMS認証が利用できなくなります。ID・パスワードのみのログインでパスワードを忘れた場合は、登録アドレスなどにパスワード変更通知を送って確認する方法がありますが、SMS認証ができなくなった場合のログインは難しいケースがあります。

企業側は端末紛失されたケースでもログインできるような予防措置を検討したほうがよいでしょう。

SMSインターセプトやSIMスワップ問題がある

SMS認証そのものは非常に精度が高い認証ですが、他人の電話番号に送信されたSMS番号を盗み取る手口が一部にあります。

例えば悪意のあるアプリをインストール後、「SMSへのアクセス権」の許可を与えてしまっている場合、SMSの内容が読み取られてしまう可能性があります。

対策としては、アプリのインストールを行うときにはAppStoreやGooglePlayなど公式サイトから行いましょう。また当リスクを踏まえて怪しいアプリは、なるべくインストールするのを辞めましょう。その他各サービスを利用するさいには、SMS認証だけでログインができないよう、通常のID・パスワードのログインと合わせる２段階認証を行うことをオススメします。

またSIMスワップは、悪意のあるものが個人情報を調査し身分証明書を偽造して、携帯電話会社に連絡を行い、SIMの電話番号を入れ替えることによってSMS受信してしまう手口です。

そもそもなぜ本人認証が重要なのか

高いセキュリティレベルが求められるようになっているから

昨今、Webサービスの増加に伴い個人情報漏洩のリスクは高まってきています。企業側は安心してユーザーに利用してもらうために、また年々厳しくなる個人情報保護法に遵守するためにも個人情報の取り扱いは厳重にしなければなりません。

特にログインを求めるようなサービスの場合、ログインした先には個人情報を含んでいる可能性も高いでしょう。以前主流であったIDとパスワードのみのログインは、わかりやすいパスワードの場合や、パスワードが漏洩してしまった際に簡単にログインされてしまう可能性があります。

そこで、より本人のログインだと判別できるよう本人認証が重要です。
SMS認証も完全とはいえませんが、ログイン時に毎回違う認証コードを発行したり、2段階認証にすることでセキュリティを強化することができます。

アカウントの大量作成防止になるから

以前、さまざまなツール・サービスで複数のアカウントを作成できてしまうことが多く、不正利用や使われなくなったアカウントが大量に発生するといった事象が発生していました。昨今では休眠アカウントを削除するサービスも増えてきています。
そのような不正・休眠アカウントを減らすため、1人1アカウントしか作れないようにするための本人認証が重要になっています。

特にSMS認証を導入することで送信できる機器1台につき1アカウントまでの制限をかけることができるため、アカウントの大量作成を防止する効果にもつながります。

転売・買い占めの防止になるから

昨今問題視されている、転売や買い占め問題の対策としても本人認証は有効です。本人認証を行ったアカウントにつき１つしか購入できないなどの対応を行うことで、転売目的の買い占めを防止することにつながります。

他の本人認証との違い

ここでは、SMS認証とその他の本人認証との違いについて紹介します。

SMS認証と生体認証の違いは？

	生体認証	SMS認証
機器の必要性	不要	携帯電話必須
精度	状況によりエラーが起きる	入力ミスはあるが、手順通りに行えばできる

そもそも生体認証とは

生体認証とは、個体差で異なる指紋、顔、静脈、虹彩などの身体的特徴を使った認証手法で近年普及してきている方法です。
所有物認証のように認証機器を盗まれる心配がなく、パスワード情報や認証専用機器が不要であるため、手軽でスピーディーな認証です。

最近ではライブ会場や空港での生体認証を採用するケースも増えてきており、大人数の認証の手間、認証にかかる時間を削減することができます。

生体認証にも課題

• センサーによっては高精度な認証を行うことは難しい
• 生体情報を模倣されるケースもある
• 第三者にコピー・模倣されてしまうと簡単には変更ができない

生体認証は、搭載されているセンサーによっては高精度な認証を行うことは難しく、手の乾燥時に指紋認証の精度が落ちてしまうなど身体の状態などによってはうまく認証ができないケースがあります。また付着した指紋や顔をスキャンして生体情報を模倣されるケースもあります。

最も恐ろしいことは、一度登録された生体情報を悪意のある第三者にコピー・模倣されてしまうと簡単には変更ができないということです。
そのため、ここでも二要素認証の概念が必要であり、知識認証や所有物認証を掛け合わせることで、身体情報が模倣されてしまった場合でも不正アクセスを防ぐことができます。

また、生体認証では認証用のデバイスの配布や認証機器の導入が必要になるなど、導入までのコストが大きくなるという懸念点があります。

SMS認証と他の所有物認証との違いは？

SMS認証以外の所有物認証にはICカードやキャッシュカードで認証をする他、トークンなどの認証専用の機器から発行されたワンタイムパスワードをフォームに入力して本人確認をする認証手法などがあります。

仮にワンタイムパスワードがばれてしまっても一定時間で使用できなくなるパスワードのため、悪意のある第三者に盗み見られても安心です。

しかし、認証用の機器を紛失するというリスクや、そのデバイスが手元になければ認証が行えないというデメリットがあります。

特定の用途でしか使われないデバイスは紛失しやすく、利用したいときに手元にないなどの状況が一定数生じてしまいます。

メールでの2段階認証・本人認証との違いは？

2段階認証・本人認証にはメールでの確認方法もあります。手順はSMSと近しく、メールに認証コードを送付し、認証コードを入力画面に入力することで認証を行います。

SMSと同じくメールは、利用・所持しているユーザー数が多く、ユーザー側も比較的簡単に認証することができます。電話番号を取得しておらず、メールアドレスが分かっている場合に有効です。

大きな違いは、到達率維持の難易度です。SMSはここまで紹介した通り、SMS配信サービスを利用すれば一定の到達率を維持できます。一方でメールは、迷惑メールが多くあることから、確実に届けるために、メール配信システムを導入している場合でも、企業側で必要な対応が発生します。例えばDKIM・SPFなど、なりすまし・改ざんを防止するドメイン認証の対応です。
対応していないと迷惑メールフォルダに入ることや、そもそも届かないというケースもあります。

またユーザー側で、アドレスが変わってしまったり、メーラーにログインできないなど、さまざまな理由で認証できない場合もあります。そのため、SMS認証のほうが到達率が高く確実性が高いと言えるでしょう。

2段階認証と二要素認証の違い

ログインに関わる認証方式として2段階認証と二要素認証が取り上げられますが、以下の違いがあります。

• 2段階認証：ログイン時に2つの異なる認証を行うこと
• 二要素認証：ログイン時に2つの要素を使った認証を行うこと

認証における要素は、パスワードなどを活用する「知識要素」、SMSやICカードなどを使用した「所有要素」、指紋などの「生体要素」があります。そのため、ログイン時にID・パスワードの認証後に、秘密の質問の答えを求める場合、認証方法は異なるものの共に知識要素の認証であるため、二要素ではなく2段階認証です。

SMS認証の活用例とは？

活用例①　チケット会員サイト登録時のSMS認証

チケットでの問題は、高額転売です。
1ユーザーが複数メールアドレスを使って会員IDを取得し、チケット購入時に複数のIDを使ってチケットを購入する問題があります。

例えば、人気アーティストのコンサートチケットが販売されるとします。複数IDを持っているユーザーがそれぞれのIDでチケットを購入し、そのチケットを高額で転売するのです。

高額チケットの転売を防ぐため、チケット会員登録時に1ユーザーが複数回会員登録をできないよう、会員登録の時点で「携帯電話番号」を入力し「認証コード」を発行して、SMSで届いた認証コードを入力して登録、と言った流れを作ることにより、チケット大量購入→高額転売を防ぐことができます。

活用例②　金融機関・証券会社での振込時のSMS認証

金融機関・証券会社で、一定金額以上の振込を行う際に、SMS本人認証が利用されています。

利用方法としては、振込確定前にSMSで本人認証のための使い捨てパスワード「ワンタイムパスワード」を送り、そのコードを画面上で入力して振込といったシーンで利用できます。

※これはあくまでも利用内容の1例になります。サービス・システムによってはSMS本人認証時のタイミング等は異なると思います。

活用例③　カード会社のポイント交換

普段使っているカードにてポイントが貯まっていて、そのポイントを景品や別のカードのポイントに移行する際にSMS本人認証が利用されています。

これも上記2つのパターンにて紹介したようにSMS本人認証を使って「認証コード」を発行します。

こちらも②と同様、SMS本人認証のタイミングはサービス・システムによって異なると思います。

SMS認証の導入方法とは？

SMS認証の導入方法を3つの段階に分けて紹介します。

①API連携が可能なSMS認証サービスを選定する

SMSを認証用途で利用するためには、API連携が可能なSMS配信サービスを選定する必要があります。 また、国内のユーザーに対して認証を行う場合は、国内直収のサービスであることは最低条件となります。

さらに、SMS認証では自社で使用しているシステムとのスムーズな連携が必要となるため、APIの連携が可能かつ開発が簡単なサービスを選ぶとよいでしょう。

SMS送信サービスは数多くありますが、認証に適しているサービスかどうかを事前に確認しておきましょう。

②既存システムとSMS認証サービスをAPIで連携させる

次に、既存システムとSMS認証サービスでAPI連携を行います。自社の既存システムからAPIを通してSMS認証サービスに指示を出すための開発、機能実装が必要となります。

API連携実装の手順は、登録したSMS認証サービスでAPIキーとシークレットキーを取得して、自社システムの仕様に合わせて実装します。

開発に関する知識がない場合でもサービスを提供しているベンダーに相談が可能です。少しでも不安点がある際には気軽に相談してみるとよいでしょう。

③運用テスト後に実運用開始

自社システムと連携してSMSの通知が送れているか、認証コードの有効期限が正しく設定されているか、認証の通知文面がわかりやすい文面になっているかなど本番稼働の前にテストで確認するとスムーズに実運用に移れるでしょう。

SMS認証サービスの料金・費用は？

SMS認証を導入する時に利用する「SMS認証サービス」は、基本的に初期費用や月額基本料金は0円とかからないケースが多いです。1通送るごとに従量料金がかかり、相場は1通8円程度です。配信ボリュームが大きくなると1通6円や7円など下がる場合もあります。

ただし、SMSを利用できない人向けのIVR連携はオプション費用がかかるケースが多いです。

SMS認証に適したサービスの選び方

SMS認証サービスの導入で失敗しないためのポイントを紹介します。

Point①　"国内直収"のサービスで確実なSMS認証を行う

SMS認証を行うさいに、「SMSが正しく届かない」というリスクがあります。
SMSを送る際には国内回線網と国際回線網という２種類の送信ルートがあり、国際回線網を使用している場合にリスクが高まります。

国内回線

国内の携帯キャリアに確実に届く正規ルートで送信すれば確実にSMSを届けることができます。
企業から国内キャリアユーザーにSMSを届ける際は国内回線を介してSMSを送信する国内直収(国内携帯キャリアと直接接続した)サービスを選ぶようにしましょう。

国際回線

海外の回線を介してSMSを送信するため、国内携帯キャリアを利用するユーザーにとってはスパムメッセージとして一定数ブロックされてしまいます。
海外では日本と比較してSMSの流通量が圧倒的に多く、広告宣伝をはじめとするスパムメッセージも数多く流れています。
国内携帯キャリアではこのようなスパムメッセージを防ぐために国際回線を介したSMSを一定数ブロックするフィルタリング機能を備えています。これは一部の要因ですが、SMSが届かない主な原因の一つになります。

参考記事：SMSが届かない・送れない原因と対策を徹底解説

Point②　SMS認証に必要なシステム連携（API）が容易か？

SMS認証を行う場合、自社システムとSMS認証サービスをシステム連携(API)させる必要があります。

SMS認証のような、SMSをシステムから自動送信をする仕組みは連携する際の繋ぎ込みに工数がかかるため、自社の開発部門に負担がすくないものを選べるとベストです。

開発が容易なAPI（RESTfulなど）に対応しているサービスが接続もスマートでおすすめです。

Point③　導入実績でサービスのセキュリティレベルを測る

SMS認証はアカウントセキュリティ強化の一環として行うわけなので、SMS認証を行うための送信サービスのシステムセキュリティをチェックしておくことが重要です。

セキュリティを見る際の最も簡単な指標が"導入実績"です。なぜなら上場企業をはじめとする中堅・大手企業などの導入事例がある場合、ある程度のセキュリティレベルに対応できるSMS送信サービスだという貴重な判断材料のひとつになるからです。

特に公官庁の導入が多い場合には、セキュリティが高い可能性があります。

脆弱性対策もよく確認を！

IPSやファイアウォール、SMS送信サービスのコンピューターのOS、ソフトウェア、プログラムの"脆弱性対策"などにも注意を払えるとよいです。

実績をみることである程度の信頼感をもつことができますが、念のため具体的に行っている施策の部分まで確認しておけると安心です。

Point④　稼働率やスピードなどの性能の状況

SMS認証は、ユーザーがサービスを利用しようとしているタイミングが多いため即時に必ず届けなければなりません。購入しようと思っているユーザーに対してのSMS認証で届かないことが発生したら、別のECサイト等に流れてしまうかもしれません。稼働率の実績はどの程度か、配信スピードの実績はどの程度あるのかなど、よく確認しましょう。

おすすめのSMS認証ができるサービス

SMS認証導入する時に活用できるSMS送信サービスは多々ありますが、SMS認証用途においてオススメのサービスを３つ紹介します。

Cuenote SMS

『Cuenote SMS』はSMS（ショートメッセージ）・IVR（音声自動応答）を利用したセキュアな認証を、API連携で簡単に実装できるサービスです。

国内キャリア直収の高品質なSMS送信により、サービス登録・ログイン等の際の二要素認証をサポートします。

「確認コードの生成」、「SMS・IVRによる確認コードの通知」、「認証画面の表示および認証処理」、「認証結果の取得」など、一連のプロセスを実行させることができます。

料金は初期費用0円の認証数に応じた料金制となるため、詳しくはお問い合わせください。

導入企業	Cuenoteシリーズ累計：2,500社
料金	1通6円～
特長	REST API 、IVR対応

空電プッシュ

NTTのグループ会社が提供するサービスである「空電プッシュ」は、送信可能数は1時間あたり193万通、到達率は99％の配信性能に加え、セキュリティ対策にも力を入れています。Web上で無料会員登録するだけでトライアルが可能な「Karaden SMS API」も提供しています。

送信可能数	1時間当たり193万通
料金	非公開
特長	REST API、IVR対応

メディアSMS

6,000社を超える企業に導入されている「メディアSMS」では、認証オールインワンサービスと呼ばれる、OTP生成・照合判定等の本人認証機能をワンステップでできる専用APIを提供されています。IVRの自動音声応答の対応も可能です。

導入企業	非公開
料金	初期0円。1通当たりの費用9.35円（税込）～
特長	IVR対応

SMS認証で、顧客が被害に合わないために気を付けること

認証に完璧なものはありません。SMS認証の場合は主に３点気を付けるべき点があります。

スミッシング：SMS自体のなりすまし対策を行う

企業からのSMSのふりをした「なりすまし」により、偽サイトに誘導され、気づかず重要な情報を入力してしまうことで被害にあう「スミッシング詐欺」があります。

企業は「03」や「0120」といった携帯以外の番号を使うとともに、SMSの発信元番号を認証画面やサイトに記載するなど、ユーザーが被害に合わないよう対策を行いましょう。

電話による詐欺について注意喚起する

SMS認証は精度が高い一方、届いた番号を教えてしまうと不正利用など被害に合う可能性があります。
例えば宅配業者に偽り、電話にて「今から送る確認コードを教えてください」など聞き出そうとする手口があります。またフリマサイトなど個人間でのやり取りを行うサービスにおいては、取引相手になりすまして電話で聞き出す手口があります。
SMS認証ページなどで、電話で聞き出すことはない点・第三者が聞き出す必要は絶対にないことを記載するなど、顧客が被害に合わないよう対策をしましょう。

SMS認証では、認証代行の問題がある

日本において犯罪とされているSMS認証代行に利用される危険性があります。SMS認証代行とは、SMSを受信できる人が、第三者のアカウント作成を手伝うために、SMS認証を代行することです。

SMS認証代行を利用して作成されたアカウントは、詐欺等不正利用につながるため、これらの行為は法的に問題とされ、刑事罰の対象となる可能性があります。

お客様には、認証代行をしないよう注意喚起するとともに、認証代行によって作成されるアカウントもあり得ることを理解したうえで、サービス管理を行う必要があります。

SMS認証でよくある質問

SMS認証は無料で利用できる？

SMS認証は、SMSを受信する側であるユーザーには料金はかかりません。送信する側では、１通〇円のように従量課金型で費用が発生します。金額についてはSMS送信サービスごとに異なります。

SMS認証のセキュリティは安全？

他の認証と比較しても、安全な手段ですが、完全ではありません。当記事で紹介したようにSMSを盗聴されるインターセプトやSIMスワップなどの問題があります。サービス提供社はセキュリティの安全性を高めるためにはログイン時は二要素認証を導入し、１つの要素としてSMS認証を導入することをオススメします。

SMS認証コードが届かない場合はどうしたらよい？

原因は複数ありますが、以下問題ないか確認してください。

• 登録した電話番号にミス・間違いはないか
• SMSの受信拒否設定されていないか「設定アプリ」などで確認
• 圏外になっていないか
• 050番号などでSMS対応外になっていないか。SIMカードに問題が無いか確認
• 受信端末の保存容量に空きがない
• 使っている端末のOSが最新になっていない

また一部のスマートフォンやキャリアなどでは迷惑メッセージを防ぐ観点から、本来正しいメッセージでもブロックされてしまう可能性もあります。

2025年最新、SMS認証の状況は？

EC加盟店を中心に本人認証の重要性が高まる

2025年はさらに、SMS認証含めた本人認証の重要性・需要は高まる可能性があります。その一例として、経済産業省のホームページに掲載されている「クレジットカード・セキュリティガイドライン」が改訂されました。その冒頭には以下の記述があります。

クレジットカード情報の窃取や不正利用を防止するため、EC 加盟店におけるカード情報保護対策及び本人認証を強化するための取組が求められる状況にある。

引用元：クレジットカード・セキュリティガイドライン 【5.0版】

主な内容としては、クレジットカード決済時に使用する「EMV3-Dセキュア」と呼ばれるクレジットカード会社が設定する本人認証サービスを2025年3月までに導入することを義務化するものですが、オンライン上でさまざまな重要情報の取り扱いが増えている昨今において、SMS認証含めた本人認証の重要性は増していくことでしょう。

米国では一部対象に向けてSMS認証への課題も上がっている

　米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、2024年12月18日に「モバイル通信のベストプラクティスガイダンス」を発表しました。対象としては政府や政治の上級職など、スパイ活動の標的になり得る個人に向けに対して、SMS認証を非推奨であることが記載されています。SMSは通信が暗号化されないため、傍受される可能性があります。

SMS認証に限らず、あらゆる認証にもリスクが存在します。セキュリティレベルを向上させるためには、日々の情報収集も重要です。

出典：CISA Mobile Communications Best Practice Guidance）

「060」から始まる携帯番号が来年7月以降利用開始

携帯電話番号の枯渇により、2026年7月以降「060」から始まる番号がスタートされます。多くのSMS認証に関するツールは対応される見込みですが、導入時には念のため確認しましょう。Cuenote SMSでは既に060番号には対応しています。

まとめ

SMS認証は、高い普及率と到達率を活かした、信頼性の高い本人確認方法です。導入のハードルも低く、コストも抑えられるため、多くのWebサービスや金融機関で利用されています。 一方で、端末の紛失やSIMスワップなどのリスクもあるため、二要素認証やIVRの併用などの対策も重要です。 本人確認の強化やセキュリティ向上を目指す企業にとって、SMS認証は今後も重要な選択肢の一つと言えるでしょう。