2016/03/09(更新:2020/04/27)

企業が「SMS認証」を導入するワケ!?

IDとパスワード(知識情報)を入力するログイン認証では、悪意のある第三者によって情報漏えいした場合、アカウントの乗っ取り及びサイトの管理権限にまで及ぶ多大なるリスクが存在します。そのことから、2017年頃からセキュリティ向上のため「Yahoo! JAPAN IDに携帯電話番号を宛先にしたSMS認証が導入」され、2020年現在では多くの銀行が「ワンタイムキー」や「ワンタイムパスワード」の名称でSMS認証を利用しております。SMS認証は「認証の3要素」の内、二要素目の所有物情報の認証を行うことから、2段階認証(2要素認証)とも呼ばれております。

本記事では、「SMS認証」を導入する理由から、SMS認証を狙ったフィッシング詐欺、多要素認証を理解したセキュリティ対策についてご紹介します。

SMSで届く数桁の認証コードを企業が導入する理由

SMSで届いた“数桁の認証コード”は、LINEなどアプリ認証から、重要な取引を行う金融機関のWebサービスで利用されています。

SMS認証を導入する最大の理由は、「SMS=携帯番号≒1人1台」という特徴を利用することで、 「認証コード」の通知手段としてだけではなく、1人のユーザー(携帯番号)が“複数アカウント”を作成できないように制御(登録済みの携帯番号へはSMS送信しない等)することが可能なためです。

特にポイントやインセンティブを獲得するようなアプリ、ゲーム、キャンペーン等の場合は、 1ユーザーが複数アカウントを利用して、何度も獲得できてしまわないように、 “携帯番号”をユーザー識別する「キー」の1つとして導入するケースが増えています。

「認証コード」の通知手段としては、これまでは“eメールアドレス”が一般的でしたが、 いわゆるフリーメール(WEBメール)では、1人が複数のメールアドレスを生成できてしまいますので、それで個人を識別することは困難です。

そこで、お客様を識別でき、なおかつ流用されにくい“携帯番号”が有効となるのです。

仮に、他人の“携帯番号”を使って登録しようとしても、その携帯(番号)宛にしか「認証コード」が届きませんので、よほどの間柄でなければ届いた「認証コード」を知ることはできません。

「認証コード」を他人に教えてしまった場合でも、電話番号は「クレジットカード番号」とは異なり、電話番号だけで決済できるワケではありませんので、携帯電話そのものを盗まれないかぎり、多額の請求が発生することはありません。

そもそもSMSのアドレスである携帯番号は、電話番号なので、eメールアドレスのように自由に 発信元(電話番号)を変えたり、成りすましたり、生成したりできません。また、悪いことをしようとしても、携帯電話の契約があるので、足がつきやすいのです。

金融機関等のSMS認証で様々な業界の企業へ拡大

警察庁、金融庁等からも不正送金対策として「2要素認証」を実施するように各金融機関へ 通達がありました。これまでの「ID/パスワード」等のユーザー認証に加えて、 もう1段階、“認証”方式を組み合わせて、セキュリティを強化しなさいということです。

これまでは「乱数表」や「トークン」を使って、ワンタイムパスワードを発行・入力する という方式がとられていましたが、ネットユーザーの増加に伴い、「トークン」等の資産(備品)管理や維持コストが負担となってきました。

さらに金融機関だけでなく、様々な業界でセキュリティ強化の一環としてコンプライアンスを重視する企業にも広まっています。

SMS認証を狙ったフィッシング詐欺も増加

「SMS認証サービス」を提供する空電プッシュでこんな問合せを受けることがあります。
「ネット上の知人に携帯番号を聞かれ、その携帯番号宛に届いたSMSの“数桁の英数字”を 伝えた後、連絡がとれなくなった。多額の請求や悪用されたりしないだろうか?」

弊社の回答は、「SMS認証は毎回異なる期限付きパスコードを送信することから、携帯番号宛に届いた1通の“数桁の英数字”を知られただけで、多額な請求をされることは原則ありえません。ただし、SMSを狙ったフィッシング詐欺(スミッシング詐欺)の標的にされている可能性が高いことから、不審な電話番号からSMSに記載されたURLへのアクセスや金融機関のID・パスワード入力等は絶対しないで下さい」とお伝えしております。

2019年9月に警視庁から不正送金事犯による被害が急増しているデータも公開され、銀行協会と警視庁が連携した注意喚起がありました。

SMSを狙ったフィッシング詐欺対策のため、2020年1月に”アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れが検討されております。解説すると「SMS認証で自動的にログインする技術を導入することで、他人にパスコードを教えるフィッシング詐欺からの危険性を減らせるという提案です。

多要素認証の3要素を理解し、1人1人がセキュリティ対策を

認証に使用する情報は大きく3要素に分けられます。

  1. 知識情報・・ID・パスワードなど
  2. 所有物情報・・携帯電話番号を用いた認証(SMS、ボイスコール)など
  3. 生体情報・・指紋、顔、静脈認証
    (※ 第4の要素として「場所情報・・GPSなどの位置情報が考えられている)

携帯電話を紛失してしまった場合、iPhoneやAndroidの指紋認証を行うことが個人で出来るセキュリティ対策と考えられます。

まとめ

SMS認証を利用した2段階認証は、ID・パスワードのみの認証よりもはるかに安全です。
2段階認証はセキュリティの重要なベースラインとなっており、よりセキュアな認証をしてない限り、SMS認証を導入する必要性があると言えます。

SMS送信サービス市場 4年連続シェア No.1 空電プッシュ 詳しく見る ITR「ITR Market View:ECサイト構築/CMS/SMS送信サービス/電子契約サービス市場 2019」

SMS送信サービス空電プッシュ
資料請求・お問い合わせ

SMS送信サービス空電プッシュの料金・仕様・導入に関してはお気軽にお問い合わせください。

空電プッシュ
ダウンロード資料

着眼率90%を誇る顧客へのメッセージを
確実に伝えるための手法はこれだ