企業が「SMS認証」を導入するワケ!?

IDとパスワード(知識情報)を入力するログイン認証では、悪意のある第三者によって情報漏えいした場合、アカウントの乗っ取り及びサイトの管理権限にまで及ぶ多大なるリスクが存在します。そのことから、2017年頃からセキュリティ向上のため「Yahoo! JAPAN IDに携帯電話番号を宛先にしたSMS認証が導入」され、2020年現在では多くの銀行が「ワンタイムキー」や「ワンタイムパスワード」の名称でSMS認証を利用しております。SMS認証は「認証の3要素」の内、二要素目の所有物情報の認証を行うことから、2段階認証(2要素認証)とも呼ばれております。

本記事では、「SMS認証」を導入する理由から、SMS認証を狙ったフィッシング詐欺、多要素認証を理解したセキュリティ対策についてご紹介します。

SMSで届く数桁の認証コードを企業が導入する理由

SMSで届いた“数桁の認証コード”は、LINEなどアプリ認証から、重要な取引を行う金融機関のWebサービスで利用されています。

空電プッシュ:本人認証でのSMS活用

SMS認証を導入する最大の理由は、「SMS=携帯番号≒1人1台」という特徴を利用することで、 「認証コード」の通知手段としてだけではなく、1人のユーザー(携帯番号)が“複数アカウント”を作成できないように制御(登録済みの携帯番号へはSMS送信しない等)することが可能なためです。

特にポイントやインセンティブを獲得するようなアプリ、ゲーム、キャンペーン等の場合は、 1ユーザーが複数アカウントを利用して、何度も獲得できてしまわないように、 “携帯番号”をユーザー識別する「キー」の1つとして導入するケースが増えています。

「認証コード」の通知手段としては、これまでは“eメールアドレス”が一般的でしたが、 いわゆるフリーメール(WEBメール)では、1人が複数のメールアドレスを生成できてしまいますので、それで個人を識別することは困難です。

そこで、お客様を識別でき、なおかつ流用されにくい“携帯番号”が有効となるのです。

仮に、他人の“携帯番号”を使って登録しようとしても、その携帯(番号)宛にしか「認証コード」が届きませんので、よほどの間柄でなければ届いた「認証コード」を知ることはできません。

「認証コード」を他人に教えてしまった場合でも、電話番号は「クレジットカード番号」とは異なり、電話番号だけで決済できるワケではありませんので、携帯電話そのものを盗まれないかぎり、多額の請求が発生することはありません。

そもそもSMSのアドレスである携帯番号は、電話番号なので、eメールアドレスのように自由に 発信元(電話番号)を変えたり、成りすましたり、生成したりできません。また、悪いことをしようとしても、携帯電話の契約があるので、足がつきやすいのです。

金融機関等のSMS認証で様々な業界の企業へ拡大

警察庁、金融庁等からも不正送金対策として「2要素認証」を実施するように各金融機関へ 通達がありました。これまでの「ID/パスワード」等のユーザー認証に加えて、 もう1段階、“認証”方式を組み合わせて、セキュリティを強化しなさいということです。

これまでは「乱数表」や「トークン」を使って、ワンタイムパスワードを発行・入力する という方式がとられていましたが、ネットユーザーの増加に伴い、「トークン」等の資産(備品)管理や維持コストが負担となってきました。

さらに金融機関だけでなく、様々な業界でセキュリティ強化の一環としてコンプライアンスを重視する企業にも広まっています。

SMS認証事例:サイバーエージェント

SMS認証を狙ったフィッシング詐欺も増加

「SMS認証サービス」を提供する空電プッシュでこんな問合せを受けることがあります。
「ネット上の知人に携帯番号を聞かれ、その携帯番号宛に届いたSMSの“数桁の英数字”を 伝えた後、連絡がとれなくなった。多額の請求や悪用されたりしないだろうか?」

弊社の回答は、「SMS認証は毎回異なる期限付きパスコードを送信することから、携帯番号宛に届いた1通の“数桁の英数字”を知られただけで、多額な請求をされることは原則ありえません。ただし、SMSを狙ったフィッシング詐欺(スミッシング詐欺)の標的にされている可能性が高いことから、不審な電話番号からSMSに記載されたURLへのアクセスや金融機関のID・パスワード入力等は絶対しないで下さい」とお伝えしております。

2019年9月に警視庁から不正送金事犯による被害が急増しているデータも公開され、銀行協会と警視庁が連携した注意喚起がありました。

SMSを狙ったフィッシング詐欺対策のため、2020年1月に”アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れが検討されております。解説すると「SMS認証で自動的にログインする技術を導入することで、他人にパスコードを教えるフィッシング詐欺からの危険性を減らせるという提案です。

多要素認証の3要素を理解し、1人1人がセキュリティ対策を

認証に使用する情報は大きく3要素に分けられます。

  • 知識情報・・ID・パスワードなど
  • 所有物情報・・携帯電話番号を用いた認証(SMS、ボイスコール)など
  • 生体情報・・指紋、顔、静脈認証
    (※ 第4の要素として「場所情報・・GPSなどの位置情報が考えられている)

携帯電話を紛失してしまった場合、iPhoneやAndroidの指紋認証を行うことが個人で出来るセキュリティ対策と考えられます。

まとめ

SMS認証を利用した2段階認証は、ID・パスワードのみの認証よりもはるかに安全です。
2段階認証はセキュリティの重要なベースラインとなっており、よりセキュアな認証をしてない限り、SMS認証を導入する必要性があると言えます。

コラム一覧
ダウンロード資料
SMSは郵便、メール、LINEよりも読まれている!

SMSは郵便、メール、
LINEよりも読まれている!

アンケートから見る
既読率の高いコンタクトツールと
SMS利用実態調査

ダウンロードする
顧客とのコンタクトに課題を抱えているご担当者様必見!

顧客とのコンタクトに課題を
抱えているご担当者様必見!

着眼率90%を誇る顧客メッセージ
を確実に伝えるための手法はこれ
だ!

ダウンロードする
コンタクト率驚異の99%?!従来のコミュニケーションとは一線を画す注目手法!

コンタクト率驚異の99%?!
従来のコミュニケーションとは
一線を画す注目手法!

「SMS」が重宝される理由とは?
7つの活用ケースから探る!

ダウンロードする
最新記事
生損保業界でのSMS活用:保険商品販売時から契約後のアフターフォローまで、幅広い場面でDX推進を!

2022/06/30

生損保業界でのSMS活用:保険商品販売時から契約後のアフターフォローまで、幅広い場面でDX推進を!

顧客への連絡業務を効率化するエコシステムとは? ~システム間連携で顧客コミュニケーションのDX推進を~

2022/04/01

顧客への連絡業務を効率化するエコシステムとは? ~システム間連携で顧客コミュニケーションのDX推進を~

自治体でのSMS活用:コロナ感染者への連絡、ワクチン接種日連絡、特定検診連絡、母子支援、税金や保険料の催促など幅広い業務で円滑な住民連絡を実現

2022/02/16

自治体でのSMS活用:コロナ感染者への連絡、ワクチン接種日連絡、特定検診連絡、母子支援、税金や保険料の催促など幅広い業務で円滑な住民連絡を実現

金融業界でのSMS活用:督促、口座やローン申込時の確認連絡、アンケート、SMS認証など幅広い業務で円滑なコミュニケーションを実現

2021/12/17

金融業界でのSMS活用:督促、口座やローン申込時の確認連絡、アンケート、SMS認証など幅広い業務で円滑なコミュニケーションを実現

人材サービス業界でのSMS活用:求職者、応募者との迅速な連絡や状況確認をSMS(ショートメッセージ)で実現

2021/11/12

人材サービス業界でのSMS活用:求職者、応募者との迅速な連絡や状況確認をSMS(ショートメッセージ)で実現

お問合せ

空電プッシュは、国内シェアNo.1の
法人向けSMS送信サービスです。
ご不明な点はお気軽にお問い合わせください。
利用用途や配信数に応じて最適なご提案をいたします。