IDとパスワード(知識情報)を入力するログイン認証では、悪意のある第三者によって情報が漏えいした場合、アカウントの乗っ取り及びサイトの管理権限にまで及ぶ多大なるリスクが存在します。そのことから、2017年頃からセキュリティ向上のため「Yahoo! JAPAN IDに携帯電話番号を宛先にしたSMS認証が導入」され、2025年現在では多くの銀行が「ワンタイムキー」や「ワンタイムパスワード」の名称でSMS認証を利用しています。SMS認証は「認証の3要素」の内、二要素目の所有物情報の認証を行うことから、2段階認証(2要素認証)とも呼ばれます。
ただし、近年ではSMS認証が悪用される被害も増加しているため、注意が必要です。SMS認証を導入したからといって、万全というわけではないため、適切な対応が求められます。
本記事では、「SMS認証」を導入する理由から、SMS認証を悪用した事例、主な手口、追加すべきセキュリティ対策についてご紹介します。
- SMS認証は、ID・パスワードだけの認証より安全性が高く、一度限りの認証コードを使うことで不正アクセスを防止できる
- 近年はスミッシングやSIMスワップ、通信の傍受などSMSを狙った手口が増加しており、SMS認証を導入していても万全ではない
- 金融機関など、強固なセキュリティが必要なサービスでは、SMS認証に加え、生体認証や音声認証といった追加対策を講じることが有効
目次
- SMS認証とは
- SMS認証の仕組みと企業がSMS認証を導入する理由
- SMS認証はさまざまな業界に広がっている
- SMSは危険?SMS認証を悪用した事例
- SMS認証を狙う主な手口
- 使い捨てSMS番号やSMS認証代行にも注意が必要
- 強固なセキュリティが必要なサービスは追加の対策も検討が必要
- SMS認証の導入時は適切な対策が重要

SMS認証とは

SMS認証は、ユーザーの携帯電話番号宛に送信された認証コードを送信し、ユーザーがそのコードを入力することで本人確認を行う仕組みです。一度限りの認証コードを用いるため、IDとパスワードだけの認証よりも安全性が高まり、不正アクセスや第三者によるアカウント乗っ取りのリスクを軽減できます。
手軽に導入できるため、アカウント作成時やログイン時、パスワード再設定時などに広く利用されています。特に電話番号を使った本人確認が必要な金融サービスやECサイト、SNSなどで使用されることが多いです。
SMS認証について詳しくは以下の記事をご覧ください。
SMS認証の仕組みと企業がSMS認証を導入する理由
SMSで届いた“数桁の認証コード”は、LINEなどアプリ認証から、重要な取引を行う金融機関のWebサービスで利用されています。
SMS認証を導入する最大の理由は、「SMS=携帯番号≒1人1台」という特徴を利用することで、 「認証コード」の通知手段としてだけではなく、1人のユーザー(携帯番号)が“複数アカウント”を作成できないように制御(登録済みの携帯番号へはSMS送信しない等)することが可能なためです。
特にポイントやインセンティブを獲得するようなアプリ、ゲーム、キャンペーン等の場合は、 1ユーザーが複数アカウントを利用して、何度も獲得できてしまわないように、 “携帯番号”をユーザー識別する「キー」の1つとして導入するケースが増えています。
「認証コード」の通知手段としては、これまでは“eメールアドレス”が一般的でしたが、 いわゆるフリーメール(WEBメール)では、1人が複数のメールアドレスを生成できてしまいますので、それで個人を識別することは困難です。
そこで、お客様を識別でき、なおかつ流用されにくい“携帯番号”が有効となるのです。
仮に、他人の“携帯番号”を使って登録しようとしても、その携帯(番号)宛にしか「認証コード」が届きませんので、よほどの間柄でなければ届いた「認証コード」を知ることはできません。
「認証コード」を他人に教えてしまった場合でも、電話番号は「クレジットカード番号」とは異なり、電話番号だけで決済できるワケではありませんので、携帯電話そのものを盗まれないかぎり、多額の請求が発生することはありません。
そもそもSMSのアドレスである携帯番号は、電話番号なので、eメールアドレスのように自由に 発信元(電話番号)を変えたり、成りすましたり、生成したりできません。また、悪いことをしようとしても、携帯電話の契約があるので、足がつきやすいのです。
SMS認証はさまざまな業界に広がっている

警察庁、金融庁等からも不正送金対策として「2要素認証」を実施するように各金融機関へ 通達がありました。これまでの「ID/パスワード」等のユーザー認証に加えて、 もう1段階、“認証”方式を組み合わせて、セキュリティを強化しなさいということです。
これまでは「乱数表」や「トークン」を使って、ワンタイムパスワードを発行・入力する という方式がとられていましたが、ネットユーザーの増加に伴い、「トークン」等の資産(備品)管理や維持コストが負担となってきました。
さらに金融機関だけでなく、様々な業界でセキュリティ強化の一環としてコンプライアンスを重視する企業にも広まっています。
認証に使用する情報は大きく次の3要素に分けられます。
- 知識情報・・ID・パスワードなど
- 所有物情報・・携帯電話番号を用いた認証(SMS、ボイスコール)など
- 生体情報・・指紋、顔、静脈認証
((※ 第4の要素として「場所情報・・GPSなどの位置情報が考えられている)
上記の3要素のうち、異なる2種類を組み合わせて本人確認を行う方式が2要素認証(2FA)です。また、2つ以上を組み合わせる方式を多要素認証(MFA)と呼びます。2要素認証も多要素認証の一種に含まれます。
「NTT CPaaS」 認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供
SMSは危険?SMS認証を悪用した事例
SMS認証は、これまで比較的安全で手軽な2要素認証手段として広く利用されてきました。しかし近年では、悪意のある攻撃者によってSMS認証を突破する手法が確立されつつあり、セキュリティリスクが指摘されています。
実際に、フィッシング(偽のサイトやメールで情報を盗み取る手口)などで電話番号や認証コードを盗まれ、不正送金やアカウント乗っ取りが発生した事例も報告されています。SMS認証は依然有効な認証手段の一つですが、単独では万全とは言えず、より強固な認証方式との併用が求められているのです。
SMS認証を狙う主な手口

SMS認証を不正に突破する手口として、主に次のようなものが挙げられます。
- スミッシング
- SIMスワップ
- メッセージの傍受
適切な対策を行うために、これらの特徴や仕組みについて理解しておきましょう。
スミッシング
スミッシングは、「SMS」と「フィッシング」を組み合わせた言葉で、SMSを使って偽のリンクを送信し、受信者をだまして個人情報を入力させる詐欺手口です。
メッセージには、銀行や宅配業者などを装った文面が使われ、「重要なお知らせがあります」「不在通知をご確認ください」などと不安を煽る内容が多く見られます。受信者がメッセージ内のリンクをクリックすると、偽のログイン画面やフォームに誘導され、IDやパスワード、認証コードを入力してしまうことで情報を盗まれてしまいます。
スミッシングの被害を防ぐには、不審なSMSのリンクを開かず、公式アプリやWebサイトから直接アクセスして確認することが重要です。
スミッシングについて詳しくは以下の記事をご覧ください。
SMSを利用したフィッシング詐欺に注意!代表的な手口と対処法
SIMスワップ
SIMスワップとは、攻撃者が携帯キャリアを欺いて、第三者の電話番号を自分のSIMカードに移し替える詐欺手法です。
攻撃者は、ターゲットの氏名や生年月日、住所といった個人情報を何らかの方法で入手し、それを使って携帯会社のサポート窓口に接触します。そして「SIMを紛失したため再発行したい」と申し出ることで、本来の利用者になりすまして手続きを進めます。成功すると、攻撃者はその電話番号を自身の端末で使えるようになり、SMS認証で送られるワンタイムコードもすべて受け取ることが可能です。
対策としては、携帯キャリアのアカウントに強力なパスワードや多要素認証を設定すること、個人情報をSNSなどで安易に公開しないことが挙げられます。
メッセージの傍受
SMSは、通信内容が暗号化されていないという性質上、第三者に内容を傍受されるリスクがあります。たとえば、攻撃者が通信事業者のネットワークに不正にアクセスし、やりとりされるメッセージを盗み見て認証コードなどの重要な情報が抜き取られる可能性もあります。また、公共のWi-Fiを利用する場合にも注意が必要です。
SMS認証は便利な手段ではありますが、こうした構造的な脆弱性を理解した上で、必要に応じて追加の対策を検討することが重要です。
使い捨てSMS番号やSMS認証代行にも注意が必要
SMS認証の仕組みを悪用する手口が増える中で、「使い捨てSMS番号」や「SMS認証代行サービス」の存在にも注意が必要です。
これらは、誰でもインターネット上で一時的な電話番号を取得し、自分の番号を使用せずにSMS認証を行えるサービスです。攻撃者は、こうした番号を使って不正にサービスへ登録したり、なりすましによるアカウント作成を行ったりすることがあります。また、正規ユーザーが使い捨て番号で登録した場合、後から別人に同じ番号が再利用され、アカウントへの不正アクセスにつながるおそれもあります。
SMS認証の信頼性は、送信先の電話番号が利用者本人に確実に紐づいていることが前提です。そのため、サービス提供者側は使い捨て番号の利用を制限する仕組みを導入する必要があります。ユーザー側も、安全性の低い番号を使用しないよう注意が必要です。
強固なセキュリティが必要なサービスは追加の対策も検討が必要
ここまで解説したように、SMS認証を悪用する手口は増加しています。特に金融取引や個人情報の変更など、ログイン後に重要な操作を伴うサービスでは、SMS認証だけでは不十分かもしれません。
そのため、指紋や顔認証といった生体認証や、本人の声を使う音声認証など、より高度な認証手段を取り入れることが求められます。これらは本人しか持ち得ない情報であるため、なりすましや不正アクセスのリスクを大幅に低減することが可能です。特に金銭を扱うサービスでは、多要素認証の一環としてこうした追加対策の導入を検討すると良いでしょう。
SMS認証の導入時は適切な対策が重要
SMS認証を利用した2段階認証は、ID・パスワードのみの認証よりもはるかに安全です。 2段階認証はセキュリティの重要なベースラインとなっており、よりセキュアな認証をしていない限り、SMS認証を導入する必要性があると言えます。
しかし近年では、スミッシングやSIMスワップ、メッセージの傍受など、SMS認証を狙った不正行為も増加しており、導入時にはそのリスクを正しく理解し、適切な対策を講じることが重要です。特に金融取引など強固なセキュリティが求められるサービスでは、SMS認証に加え、生体認証や音声認証といったより高度な手段を組み合わせることも検討すべきです。
NTTグループの「SMS認証サービス」は、認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供。99%超の到達率で認証コードを確実に届けます。SMS認証を支える様々な機能を一括で導入でき、工数の大幅削減が可能です。さらに、ユーザーがSMSでの対応が難しい場合はメールや音声による認証も可能です。
高い信頼性と柔軟性を備えた認証基盤を検討している場合は、ぜひNTTグループの「SMS認証サービス」をご検討ください。