SMS認証は危険？リスクについて分かりやすく解説

ユーザーがログインを試みると、登録されている080・090などの携帯電話番号宛てに送られた４～6桁の数字を入力することで認証ができるのがSMS認証です。

多くの人がスマートフォンを所持していることや、キャリアの審査を経て取得される携帯電話番号を用いるため、ユーザーにとって手軽でできる認証方法で、広く普及しています。

しかし、定期的にSMS認証は危険というニュースや話題が登場します。その理由について分かりやすく解説します。

SMS認証とは？本人確認の重要性やメリット、導入方法について徹底解説

SMS認証が危険と言われる背景とは？

SMS認証は、SMSで送られた番号を知られてしまい、その場でログインされると突破されます。SMS認証の広がりとともにフィッシング詐欺手口が増えて被害に遭うケースもあることから、危険と言われます。

SMS認証が危険かどうかの結論を述べるならば、そもそも完璧な認証はありません。SMSもその1例ということです。

例えばスマートフォンのロック解除で広く普及されている顔認証も、「顔画像のデータ」が漏洩した場合、プライバシー侵害に及ぶ可能性があることや、顔はパスワードのように変更が難しく悪用される恐れもあります。そのため、多要素認証のように複数の認証を行うことが重要です。

次項よりSMS認証の被害に遭うパターンを紹介します。サイトに導入する方も利用する方も、よく理解したうえでの活用をオススメします。

SMS認証におけるリスク

SMS認証には以下の手口で突破される可能性があります。

フィッシング詐欺

本当に存在するサイトになりすましたフィッシングサイトを利用して突破される方法です。特にID・パスワードのみの認証の場合、偽サイトに情報を登録してしまうと簡単に突破されてしまいます。SMS認証の場合、ワンタイムパスワード形式が一般的で、そのパスワードの有効時間は短い時間になっています。しかし、リアルタイムで情報が攻撃者に届きログインの操作をされてしまえば、乗っ取られてしまう可能性があります。

フィッシング詐欺に合わないために

フィッシングサイトは見た目上ほとんど差異がない状態にも作れてしまうため、見た目だけで直ぐに安全と信じないようにしましょう。

普段から利用するサイトはブックマークに登録しておくことや、アクセスする際にURLに異変がないか確認することが大事です。例えば数字の「1」とエルの子文字「l」やアイの大文字「I」など微妙な差異などにも良く注意しましょう。

また、メールやSMSでは企業になりすましたメールで、フィッシングサイトに誘導するケースもあります。身に覚えがないメールやSMSのリンクは押さずに、直接ブラウザからサイトにアクセスすることもオススメです。

SIMスワップ

電話番号＝SIMを管理しているキャリアに対して、攻撃者がターゲットになりすましてSIMカードを交換する手口です。SIM契約時には、名前や住所など個人情報を登録・記入するケースが一般的です。これらを不正取得され、個人になりすましてSIMカードを不正取得される可能性があります。ターゲットにされた側はSIM自体が使えなくなり、攻撃者は自由にSMS認証を突破される危険性があります。

SIMスワップへの対策

そもそも機密性の高い情報の取り扱いには気を付けましょう。またサービス側が求めているセキュリティ設定はできるだけ行いましょう。そのうえで、SIMスワップの場合、兆候が表れる場合があります。例えば突然サービス変更の連絡が入ったり、電話が使えなくなるなどです。兆候が見られたらすぐにプロバイダーに相談しましょう。

SMSインターセプト

SMSで送られた情報が「傍受」されてしまうと、認証が突破されてしまいます。これを「SMSインターセプト」と呼びます。スマートフォンにおいてサービスを利用するためにインストールする「アプリ」には、カメラや電話などさまざまな機能へのアクセス権限を求める場合があり、許可することでより便利にアプリを利用できます。

問題は、悪意のあるアプリをインストールしてしまい、SMSに対するアクセス権限を許可してしまった場合です。簡単に内容が傍受されてしまうことになります。

SMSインターセプトに対する対策

アプリは、基本的にGoogle PlayやApple App Storeからインストールしましょう。また、アプリインストール後に、要求される内容はよくチェックして必要最低限のみ許可するようにしましょう。

米国の国土安全保障省でSMS認証を推奨しない発表がされた

2024年12月18日に、米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「モバイル通信のベストプラクティスガイダンス」を発表しました。ここでSMS通信は暗号化されていないため傍受される可能性があり、主に政府や政治の上級職に対してSMS認証を非推奨であること発表しました。

この件に関しては、国家間などにおける商用通信インフラを標的とした「サイバースパイ」が確認されたことを受けて作成されたものです。

出典：CISA Mobile Communications Best Practice Guidance）

SMS認証の危険性が取り出される中、なぜ利用されている？

冒頭でも紹介した通り、どの認証にも危険やリスクがあります。そのうえで、サービスの利便性と安全性のバランスを踏まえた結果、SMS認証が採用されるケースが多くあります。その理由は主に以下の通りです。

SMS認証は非常に手軽に設定でき、安定している

物を利用した「物理認証」では、物を利用するたびに手元に用意する必要があります。また指認証では手が荒れてしまった時、顔認証では暗い場所などにおいて、正しく認証ができないケースがあります。

一方、SMS認証は通信ができる環境であれば、多くのユーザーが確実性高く利用できます。通信できない状況では、そもそもサービスへのアクセスも難しいため、利用できないシーンは限られます。

初期設定が不要

パスワードの場合、パスワードの登録と覚える必要があります。他の認証においても設定が必要なケースが多くあります。SMS認証では、アカウント作成時に電話番号を入力する程度になるため、設定が簡単というメリットがあります。

企業側の導入工数も抑えられる

SMS認証を導入する際に活用される「SMS配信サービス」は、初期費用が掛からず、1通8円～から送ることができます。サービス自体SMS認証用途に対応するためのAPI連携機能が用意されているなど、比較的負担少なく導入が可能です。

まとめ

SMS認証は突破される手口が複数あるため、安全と断言できる認証ではありません。しかし、多くの認証にもメリット・デメリットがあります。事業者側は、サービスの利便性・取り扱う情報の重要性など、さまざまな角度で理解したうえで、適切な認証方法を導入することをオススメします。