SMS認証とは？仕組みやメリット・導入方法やリスクまで完全解説

SMS認証とは？

SMS認証とは070・080・090などから始まる携帯電話の電話番号宛てに送るSMS（ショートメッセージサービス）を使い、本人確認を行う認証手段の一つです。

ユーザーがログインを試みると、ランダムに生成された4～6桁の数字などの認証コードがショートメッセージで届きます。届いたコードをログイン画面で入力し、一致すればログインが成功します。

SMSは、契約者本人のSIMカードが挿入された携帯電話に送信されます。契約者本人以外がその端末を持ち歩くことは少ないため、本人確認としての精度が高く広く普及しています。一方、SMS認証には一定の注意点・リスクもあります。今回は、SMSについて分かりやすく丁寧に解説していきます。

※以下の図はSMS認証のイメージ図です。

SMS認証の方法と仕組み

そもそもSMS認証はどのような仕組みになっているのか。ユーザー視点と企業視点の流れをもとに紹介します。

ユーザー側のSMS認証の流れ

ユーザーが携帯電話の番号を入力すると、即時（遅くとも数分以内程度）に認証コードが届きます。認証コードは、ログインするたび、また一定の時間経過すると変更されます。※2段階認証では、例えば1回目にIDパスワードを入力したのち、SMS認証などになります。

企業側の認証の流れ

企業側はユーザー、自社システム、SMS認証サービスと主に3か所でのデータの受け渡しがあります。
複雑に見えますが、多くのSMS送信サービスではAPI連携ができます。連携しやすいサービスを選定すれば比較的簡単に導入できます。

SMS認証が普及した５つのメリットとは

①携帯電話の普及率の高さ

SMS認証を利用する時に必要な携帯電話の普及率は非常に高いため、多くの人が利用できます。本人認証ができないことや、認証の難易度が高いと、サービスの利用自体を辞めてしまう「機会損失」が発生しかねないため、普及率は非常に重要です。

実際に、総務省の令和7年度版の情報通信白書によると、2024年のスマートフォンの情報通信機器の世帯保有率は、90.5%あり、モバイル端末全体では97.0％と普及率の高さを占めています。

参考:「令和7年版情報通信白書」

②確実性高く本人に送ることができる

SMSは本人に確実性高く送ることができます。
SMSを受信できるSIMが入った携帯電話はキャリア側の審査を経ているため、本人認証の精度・確実性は高いです。また基本的にSMSは届くと携帯にプッシュ通知として表示されるため、ユーザー側が気づきやすいという確実性の高さがあります。実際に到達率は、当社実績で99.9％^※と非常に高い状態です。

※2022年3月1日～2022年5月31日の当社実績値、圏外・節電・受信・拒否等の事由を除く

③ユーザー側の負担が少ない

SMS認証は、スマートフォンで受け取った数字などの文字列を入力するのみであるため、手軽でユーザーファーストな本人認証です。

最近では、多くのスマートフォンでSMS認証コードを自動入力する機能も搭載されています。
アカウント開設時など最初にSMS認証に必要な番号を入力すれば、以後はログイン画面にてSMS認証送信画面に遷移したあとは、入力することなく認証することもできます。そのため、非常に手軽といえます。

④SMSは到達率・開封率が高く、確実に届く

SMSは到達率が100%に近く、開封率は90％を超えるとも言われており、確実性が高いメリットがあります。
到達率・開封率が高いと言われる理由は主に３つあります。

１．MNPにより電話番号が変わることが少なくなった

MNP（ナンバーポータビリティ）という仕組みによりユーザーが携帯キャリアを変更しても電話番号が変わることが少ない点があげられます。メールアドレスや住所のように「変わってしまったら届かない」ということが比較的少ない傾向です。

２．端末にてデフォルトでプッシュ通知が表示されるため

SMSは通知設定を変更しないかぎり、受信するとデフォルトでプッシュ通知が表示されるためです。携帯電話の操作が得意ではない方でも、認証しやすいと考えられます。

３．SMSは普段使いをしないため、埋もれにくい

「埋もれにくい」という理由があります。SMSは普段コミュニケーションツールとして使われることが少ないことや、SMSは通信キャリア側で不正やなりすましと思われる発信元を除外しているため、比較的迷惑メッセージが少なく、メッセージが埋もれてしまうというケースが少ないです。

⑤導入者側のコストも抑えられる

SMS認証の導入は、料金の面や人的リソースの面でも抑えることが出来ます。
料金の面では、SMS認証を行う際に利用される「SMS送信サービス」の多くは、1通当たり数円規模の従量型料金体系が一般的で、安価に抑えることができます。

人的リソース面についても、SMS認証導入は、SMS認証が可能なサービス・システムを導入し、既存のシステムとAPI連携させるのみであるため、他の認証などと比べ負担を抑えられます。

SMS認証のデメリット

ここでは、本人認証の手段としてSMS認証を選ぶデメリットを紹介します。

一部でSMS認証を行えないケースがある

MVNO（仮想移動体通信事業者）が提供する格安SIMのスマホを利用しているユーザーで、電話回線の契約をしていない場合、SMSが利用できず、SMS認証を行えないケースがあります。
例えば「050」で始まる番号は、SMS送信機能の追加をしていない場合には、SMSを送受信することができない場合があります。

またSMSを利用したくないという人は「SMS受信拒否」の設定をしている場合があり、正しく届かないケースもあります。

代替手段としてIVRの利用を検討することも重要！

SMSが利用できないユーザーへの代替手段として、通常のSMS認証の仕組みに加えて、SMSとIVR（Interactive Voice Response）といった自動音声再生の仕組みを組み合わせたり、SMSが受信できない方のためにSMSとメールを組み合わせるなど、複数の通知手段を組み合わせることがおすすめです。

端末の紛失時に利用できない

ユーザーが端末を紛失してしまうと、認証コードを受け取れなくなるため、SMS認証が利用できなくなります。ID・パスワードのみのログインでパスワードを忘れた場合は、登録アドレスなどにパスワード変更通知を送って確認する方法がありますが、SMS認証ができなくなった場合のログインは難しいケースがあります。

企業側は端末紛失されたケースでもログインできるような予防措置を検討したほうがよいでしょう。

SMS認証にも、突破されるリスクがある

どの認証にも一定のリスクがあります。実際にSMS認証にも「危険」というニュースが定期的に見られます。大手サービスの中には、SMS認証を停止する動きもあります。そこで、改めてリスクについて解説していきます。

SMSインターセプト問題

SMSインターセプトとは悪意のあるアプリをインストール後、「SMSへのアクセス権」の許可を与えてしまっている場合、SMSの内容が読み取られてしまう可能性があります。

対策としては、アプリのインストールを行うときにはAppStoreやGooglePlayなど公式サイトから行いましょう。また当リスクを踏まえて怪しいアプリは、なるべくインストールするのを辞めましょう。その他各サービスを利用するさいには、SMS認証だけでログインができないよう、通常のID・パスワードのログインと合わせる２段階認証を行うことをオススメします。

詐欺・スミッシング：SMS自体のなりすまし対策を行う

企業からのSMSのふりをした「なりすまし」により、偽サイトに誘導され、気づかず重要な情報を入力してしまうことで被害にあう「スミッシング詐欺」があります。

企業は「03」や「0120」といった携帯以外の番号を使うとともに、SMSの発信元番号を認証画面やサイトに記載するなど、ユーザーが被害に合わないよう対策を行いましょう。

電話による詐欺について注意喚起する

例えば宅配業者に偽り、電話にて「今から送る確認コードを教えてください」など聞き出そうとする手口があります。またフリマサイトなど個人間でのやり取りを行うサービスにおいては、取引相手になりすまして電話で聞き出す手口があります。
SMS認証ページなどで、電話で聞き出すことはない点・第三者が聞き出す必要は絶対にないことを記載するなど、顧客が被害に合わないよう対策をしましょう。

SIMスワップ問題

SIMスワップは、悪意のあるものが個人情報を調査し身分証明書を偽造して、携帯電話会社に連絡を行い、SIMの電話番号を入れ替えることによってSMS受信してしまう手口です。サービス提供側では気を付けるべきことは少ないものの、気を付けるべきケースとしてサイトなどに記載することもよいでしょう。

SMS認証と他の本人認証との違い

SMS認証とその他の本人認証との違いについて紹介します。そもそも認証には、大きく3つあり、SMS認証は「所有物認証」に位置付けられます。

種類	例	メリット	デメリット
知識認証	パスワードや暗証番号	導入が簡単	知られると突破される
所有物認証	ICカードやSMS認証	パスワード忘れが無い	毎回用意する手間と紛失リスクがある
生体認証	指紋・声帯・顔認証など	パスワード忘れが無く、強固	環境によって正しく認証できなくなる

知識認証とSMS認証の違い

パスワードや秘密の質問など、ユーザーが覚える認証方式は、忘れてしまうリスクや内容が漏洩されると簡単に突破されるリスクがあります。

SMS認証は「ワンタイムパスワード」と呼ばれる毎回異なるリアルタイム性のあるパスワードを発行するため、知識認証と比べ突破されるリスクは減ります。

SMS認証と生体認証の違いは？

顔や指紋など生体情報を活用する「生体認証」は、1人1人異なる情報であり、パスワードのように忘れることがない認証方式です。技術の進歩により認証精度は向上し、広く普及しつつある認証方式です。最近ではライブ会場や空港での生体認証を採用するケースも増えてきており、大人数の認証の手間、認証にかかる時間を削減することができます。

生体認証は、多くのスマートフォンで出来るようになっているものの、「センサー」が必要というデメリットがあります。また手の乾燥やマスク装着時など、環境や状況によって正しく認証ができなくなるデメリットがあります。対して、SMS認証は、通信環境以外を除いて認証ができないというケースは少なく安定した認証方法です。

SMS認証と他の所有物認証との違いは？

所有物認証にはICカードやトークンなど、他の機器等で認証する方法もあります。それぞれ機器を紛失しない限りは、比較的突破され辛い認証方式です。

しかし、認証するたびに機器を用意する必要があるため、手間がかかります。SMS認証もスマートフォンを使用しますが、スマートフォンは日ごろから手元にあるケースが多く、他の所有物認証と比べ手間が軽減されます。

メールでの2段階認証・本人認証との違いは？

2段階認証・本人認証にはメールでの確認方法もあります。手順はSMSと近しく、メールに認証コードを送付し、認証コードを入力画面に入力することで認証を行います。

SMSと同じくメールは、利用・所持しているユーザー数が多く、ユーザー側も比較的簡単に認証することができます。電話番号を取得しておらず、メールアドレスが分かっている場合に有効です。

大きな違いは、到達率維持の難易度です。SMSはここまで紹介した通り、SMS配信サービスを利用すれば一定の到達率を維持できます。一方でメールは、迷惑メールが多くあることから、確実に届けるために、メール配信システムを導入している場合でも、企業側で必要な対応が発生します。例えばDKIM・SPFなど、なりすまし・改ざんを防止するドメイン認証の対応です。
対応していないと迷惑メールフォルダに入ることや、そもそも届かないというケースもあります。

またユーザー側で、アドレスが変わってしまったり、メーラーにログインできないなど、さまざまな理由で認証できない場合もあります。そのため、SMS認証のほうが到達率が高く確実性が高いと言えるでしょう。

SMS認証の活用例とは？

活用例①　チケット会員サイト登録時のSMS認証

チケットでの問題は、高額転売です。
1ユーザーが複数メールアドレスを使って会員IDを取得し、チケット購入時に複数のIDを使ってチケットを購入する問題があります。

例えば、人気アーティストのコンサートチケットが販売されるとします。複数IDを持っているユーザーがそれぞれのIDでチケットを購入し、そのチケットを高額で転売するのです。

高額チケットの転売を防ぐため、チケット会員登録時に1ユーザーが複数回会員登録をできないよう、会員登録の時点で「携帯電話番号」を入力し「認証コード」を発行して、SMSで届いた認証コードを入力して登録、と言った流れを作ることにより、チケット大量購入→高額転売を防ぐことができます。

活用例②　金融機関・証券会社での振込時のSMS認証

金融機関・証券会社で、一定金額以上の振込を行う際に、SMS本人認証が利用されています。

利用方法としては、振込確定前にSMSで本人認証のための使い捨てパスワード「ワンタイムパスワード」を送り、そのコードを画面上で入力して振込といったシーンで利用できます。

※これはあくまでも利用内容の1例になります。サービス・システムによってはSMS本人認証時のタイミング等は異なると思います。

活用例③　カード会社のポイント交換

普段使っているカードにてポイントが貯まっていて、そのポイントを景品や別のカードのポイントに移行する際にSMS本人認証が利用されています。

これも上記2つのパターンにて紹介したようにSMS本人認証を使って「認証コード」を発行します。

こちらも②と同様、SMS本人認証のタイミングはサービス・システムによって異なると思います。

SMS認証の導入方法とは？

自社のサービスにSMS認証を導入する場合、SMS認証に対応している「SMS送信サービス」の導入がオススメです。SMS送信サービスを前提とした導入方法を解説していきます。

①API連携が可能なSMS送信サービスを選定する

SMSを認証用途で利用するためには、API連携が可能なSMS送信サービスを選定する必要があります。 また、国内のユーザーに対して認証を行う場合は、国内直収のサービスであることは最低条件となります。

さらに、SMS認証では自社で使用しているシステムとのスムーズな連携が必要となるため、APIの連携が可能かつ開発が簡単なサービスを選ぶとよいでしょう。

SMS送信サービスは数多くありますが、認証に適しているサービスかどうかを事前に確認しておきましょう。

②既存システムとSMS送信サービスをAPIで連携させる

次に、既存システムとSMS送信サービスでAPI連携を行います。自社の既存システムからAPIを通してSMS認証サービスに指示を出すための開発、機能実装が必要となります。

API連携実装の手順は、登録したSMS送信サービスでAPIキーとシークレットキーを取得して、自社システムの仕様に合わせて実装します。

開発に関する知識がない場合でもサービスを提供しているベンダーに相談が可能です。少しでも不安点がある際には気軽に相談してみるとよいでしょう。

③運用テスト後に実運用開始

自社システムと連携してSMSの通知が送れているか、認証コードの有効期限が正しく設定されているか、認証の通知文面がわかりやすい文面になっているかなど本番稼働の前にテストで確認するとスムーズに実運用に移れるでしょう。

SMS送信サービスの料金・費用は？

SMS認証を導入する時に利用する「SMS送信サービス」は、基本的に初期費用や月額基本料金は0円とかからないケースが多いです。1通送るごとに従量料金がかかり、相場は1通8円程度です。配信ボリュームが大きくなると1通6円や7円など下がる場合もあります。

ただし、SMSを利用できない人向けのIVR連携はオプション費用がかかるケースが多いです。

SMS認証に適したサービスの選び方

SMS認証サービスの導入で失敗しないためのポイントを紹介します。

Point①　"国内直収"のサービスで確実なSMS認証を行う

SMS認証を行うさいに、「SMSが正しく届かない」というリスクがあります。
SMSを送る際には国内回線網と国際回線網という２種類の送信ルートがあり、国際回線網を使用している場合にリスクが高まります。

国内回線

国内の携帯キャリアに確実に届く正規ルートで送信すれば確実にSMSを届けることができます。
企業から国内キャリアユーザーにSMSを届ける際は国内回線を介してSMSを送信する国内直収(国内携帯キャリアと直接接続した)サービスを選ぶようにしましょう。

国際回線

海外の回線を介してSMSを送信するため、国内携帯キャリアを利用するユーザーにとってはスパムメッセージとして一定数ブロックされてしまいます。
海外では日本と比較してSMSの流通量が圧倒的に多く、広告宣伝をはじめとするスパムメッセージも数多く流れています。
国内携帯キャリアではこのようなスパムメッセージを防ぐために国際回線を介したSMSを一定数ブロックするフィルタリング機能を備えています。これは一部の要因ですが、SMSが届かない主な原因の一つになります。

参考記事：SMSが届かない・送れない原因と対策を徹底解説

Point②　SMS認証に必要なシステム連携（API）が容易か？

SMS認証を行う場合、自社システムとSMS認証サービスをシステム連携(API)させる必要があります。

SMS認証のような、SMSをシステムから自動送信をする仕組みは連携する際の繋ぎ込みに工数がかかるため、自社の開発部門に負担がすくないものを選べるとベストです。

開発が容易なAPI（RESTfulなど）に対応しているサービスが接続もスマートでおすすめです。

Point③　導入実績でサービスのセキュリティレベルを測る

SMS認証はアカウントセキュリティ強化の一環として行うわけなので、SMS認証を行うための送信サービスのシステムセキュリティをチェックしておくことが重要です。

セキュリティを見る際の最も簡単な指標が"導入実績"です。なぜなら上場企業をはじめとする中堅・大手企業などの導入事例がある場合、ある程度のセキュリティレベルに対応できるSMS送信サービスだという貴重な判断材料のひとつになるからです。

特に公官庁の導入が多い場合には、セキュリティが高い可能性があります。

脆弱性対策もよく確認を！

IPSやファイアウォール、SMS送信サービスのコンピューターのOS、ソフトウェア、プログラムの"脆弱性対策"などにも注意を払えるとよいです。

実績をみることである程度の信頼感をもつことができますが、念のため具体的に行っている施策の部分まで確認しておけると安心です。

Point④　稼働率やスピードなどの性能の状況

SMS認証は、ユーザーがサービスを利用しようとしているタイミングが多いため即時に必ず届けなければなりません。購入しようと思っているユーザーに対してのSMS認証で届かないことが発生したら、別のECサイト等に流れてしまうかもしれません。稼働率の実績はどの程度か、配信スピードの実績はどの程度あるのかなど、よく確認しましょう。

おすすめのSMS認証ができるサービス

SMS認証導入する時に活用できるSMS送信サービスは多々ありますが、SMS認証用途においてオススメのサービスを３つ紹介します。

Cuenote SMS

『Cuenote SMS』はSMS（ショートメッセージ）・IVR（音声自動応答）を利用したセキュアな認証を、API連携で簡単に実装できるサービスです。

国内キャリア直収の高品質なSMS送信により、サービス登録・ログイン等の際の二要素認証をサポートします。

「確認コードの生成」、「SMS・IVRによる確認コードの通知」、「認証画面の表示および認証処理」、「認証結果の取得」など、一連のプロセスを実行させることができます。

料金は初期費用0円の認証数に応じた料金制となるため、詳しくはお問い合わせください。

導入企業	Cuenoteシリーズ累計：2,500社
料金	1通6円～
特長	REST API 、IVR対応

空電プッシュ

NTTのグループ会社が提供するサービスである「空電プッシュ」は、送信可能数は1時間あたり193万通、到達率は99％の配信性能に加え、セキュリティ対策にも力を入れています。Web上で無料会員登録するだけでトライアルが可能な「Karaden SMS API」も提供しています。

送信可能数	1時間当たり193万通
料金	非公開
特長	REST API、IVR対応

メディアSMS

6,500社を超える企業に導入されている「メディアSMS」では、認証オールインワンサービスと呼ばれる、OTP生成・照合判定等の本人認証機能をワンステップでできる専用APIを提供されています。IVRの自動音声応答の対応も可能です。

導入企業	非公開
料金	初期0円。1通当たりの費用不明
特長	IVR対応

SMS認証のよくある質問

SMS認証は無料で利用できる？

SMS認証は、SMSを受信する側であるユーザーには料金はかかりません。送信する側では、１通〇円のように従量課金型で費用が発生します。金額についてはSMS送信サービスごとに異なります。

SMS認証コードが届かない場合はどうしたらよい？

原因は複数ありますが、以下問題ないか確認してください。

• 登録した電話番号にミス・間違いはないか
• SMSの受信拒否設定されていないか「設定アプリ」などで確認
• 圏外になっていないか
• 050番号などでSMS対応外になっていないか。SIMカードに問題が無いか確認
• 受信端末の保存容量に空きがない
• 使っている端末のOSが最新になっていない

また一部のスマートフォンやキャリアなどでは迷惑メッセージを防ぐ観点から、本来正しいメッセージでもブロックされてしまう可能性もあります。

SMS認証で、悪意のあるユーザーがなりすます可能性はある？

日本において犯罪とされているSMS認証代行に利用される危険性があります。SMS認証代行とは、SMSを受信できる人が、第三者のアカウント作成を手伝うために、SMS認証を代行することです。

SMS認証代行を利用して作成されたアカウントは、詐欺等不正利用につながるため、これらの行為は法的に問題とされ、刑事罰の対象となる可能性があります。

お客様には、認証代行をしないよう注意喚起するとともに、認証代行によって作成されるアカウントもあり得ることを理解したうえで、サービス管理を行う必要があります。

まとめ

SMS認証は、高い普及率と到達率を活かした、信頼性の高い本人確認方法です。導入のハードルも低く、コストも抑えられるため、多くのWebサービスや金融機関で利用されています。 一方で、端末の紛失やSIMスワップなどのリスクもあるため、二要素認証やIVRの併用などの対策も重要です。 本人確認の強化やセキュリティ向上を目指す企業にとって、SMS認証は今後も重要な選択肢の一つと言えるでしょう。