SMSで届いた“数桁の認証コード”は、LINEなどアプリ認証から、重要な取引を行う金融機関のWebサービスで利用されています。

空電プッシュ：本人認証でのSMS活用

SMS認証を導入する最大の理由は、「SMS＝携帯番号≒1人1台」という特徴を利用することで、 「認証コード」の通知手段としてだけではなく、1人のユーザー(携帯番号)が“複数アカウント”を作成できないように制御（登録済みの携帯番号へはSMS送信しない等）することが可能なためです。

特にポイントやインセンティブを獲得するようなアプリ、ゲーム、キャンペーン等の場合は、 1ユーザーが複数アカウントを利用して、何度も獲得できてしまわないように、 “携帯番号”をユーザー識別する「キー」の１つとして導入するケースが増えています。

「認証コード」の通知手段としては、これまでは“eメールアドレス”が一般的でしたが、 いわゆるフリーメール(WEBメール)では、1人が複数のメールアドレスを生成できてしまいますので、それで個人を識別することは困難です。

そこで、お客様を識別でき、なおかつ流用されにくい“携帯番号”が有効となるのです。

仮に、他人の“携帯番号”を使って登録しようとしても、その携帯(番号)宛にしか「認証コード」が届きませんので、よほどの間柄でなければ届いた「認証コード」を知ることはできません。

「認証コード」を他人に教えてしまった場合でも、電話番号は「クレジットカード番号」とは異なり、電話番号だけで決済できるワケではありませんので、携帯電話そのものを盗まれないかぎり、多額の請求が発生することはありません。

そもそもSMSのアドレスである携帯番号は、電話番号なので、eメールアドレスのように自由に 発信元(電話番号)を変えたり、成りすましたり、生成したりできません。また、悪いことをしようとしても、携帯電話の契約があるので、足がつきやすいのです。

警察庁、金融庁等からも不正送金対策として「2要素認証」を実施するように各金融機関へ 通達がありました。これまでの「ID／パスワード」等のユーザー認証に加えて、 もう1段階、“認証”方式を組み合わせて、セキュリティを強化しなさいということです。

これまでは「乱数表」や「トークン」を使って、ワンタイムパスワードを発行・入力する という方式がとられていましたが、ネットユーザーの増加に伴い、「トークン」等の資産(備品)管理や維持コストが負担となってきました。

さらに金融機関だけでなく、様々な業界でセキュリティ強化の一環としてコンプライアンスを重視する企業にも広まっています。

SMS認証事例：サイバーエージェント

「SMS認証サービス」を提供する空電プッシュでこんな問合せを受けることがあります。
「ネット上の知人に携帯番号を聞かれ、その携帯番号宛に届いたSMSの“数桁の英数字”を 伝えた後、連絡がとれなくなった。多額の請求や悪用されたりしないだろうか？」

弊社の回答は、「SMS認証は毎回異なる期限付きパスコードを送信することから、携帯番号宛に届いた1通の“数桁の英数字”を知られただけで、多額な請求をされることは原則ありえません。ただし、SMSを狙ったフィッシング詐欺（スミッシング詐欺）の標的にされている可能性が高いことから、不審な電話番号からSMSに記載されたURLへのアクセスや金融機関のID・パスワード入力等は絶対しないで下さい」とお伝えしております。

2019年9月に警視庁から不正送金事犯による被害が急増しているデータも公開され、銀行協会と警視庁が連携した注意喚起がありました。

SMSを狙ったフィッシング詐欺対策のため、2020年1月に”アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れが検討されております。解説すると「SMS認証で自動的にログインする技術を導入することで、他人にパスコードを教えるフィッシング詐欺からの危険性を減らせるという提案です。