SMS 認証の普及と課題
SMS を利用した二段階認証 (2FA) は、手軽に導入できるセキュリティ対策として広く普及しています。銀行、SNS、EC サイトなど、多くのオンラインサービスが SMS 認証を採用しており、ログイン時にワンタイムパスワードが携帯電話に送信される仕組みは多くの人にとって馴染み深いものです。
しかし、SMS 認証には固有の脆弱性が存在し、米国国立標準技術研究所 (NIST) は 2016 年の時点で SMS ベースの認証を「非推奨」としています。FIDO2 対応セキュリティキーの導入も有効な代替策です。セキュリティ専門家からはより安全な代替手段への移行が強く推奨されており、電話番号を使った二段階認証のリスクを正しく理解することが重要です。
SMS 認証に潜む具体的なリスク
SIM スワップ攻撃
SIM スワップ攻撃は、攻撃者が通信事業者のカスタマーサポートに連絡し、被害者になりすまして SIM カードの再発行を依頼する手口です。再発行された SIM カードを攻撃者の端末に挿入すると、被害者宛の SMS がすべて攻撃者の端末に届くようになります。これにより、SMS 認証コードが傍受され、銀行口座や SNS アカウントが乗っ取られます。
日本でも SIM スワップ攻撃の被害が報告されており、090・080・070 で始まる携帯電話番号が標的となっています。2023 年には通信事業者の本人確認手続きの不備を突いた事例が複数発生しています。攻撃者は事前にフィッシングやソーシャルエンジニアリングで被害者の個人情報を収集し、本人確認を突破します。
プロトコルの脆弱性">SS7 プロトコルの脆弱性
SS7 (Signaling System No. 7) は、世界中の通信事業者が相互接続に使用する制御プロトコルです。1975 年に設計されたこのプロトコルにはセキュリティ機能が不十分であり、脆弱性を悪用することで SMS メッセージを傍受できることが実証されています。技術的なハードルは高いものの、国家レベルの攻撃者や高度な犯罪組織による悪用事例が報告されています。
フィッシングとの組み合わせ (リアルタイムフィッシング)
偽のログインページで ID とパスワードを入力させた後、攻撃者がリアルタイムで正規サイトにログインし、発行された SMS 認証コードの入力を被害者に求める中間者攻撃が増加しています。SMS 詐欺 (スミッシング) の手口と組み合わせることで、被害者は正規のサービスにログインしていると思い込んでいるため、認証コードを疑いなく入力してしまいます。
マルウェアによる SMS の窃取
Android 端末を標的としたマルウェアの中には、受信した SMS メッセージを自動的に外部サーバーに転送する機能を持つものがあります。不正なアプリをインストールしてしまうと、SMS 認証コードがリアルタイムで攻撃者に送信されます。認証アプリの導入で、マルウェアの検知・除去が可能です。
より安全な代替認証手段
SMS 認証のリスクを回避するために、以下の代替手段への移行を検討してください。セキュリティの強度は下に行くほど高くなります。
- 認証アプリ (TOTP): Google Authenticator、Microsoft Authenticator、Authy などの時間ベースのワンタイムパスワードアプリです。30 秒ごとに新しいコードが生成され、通信経路を経由しないため SMS の脆弱性の影響を受けません。
- アプリ内プッシュ通知: 専用アプリへのプッシュ通知で認証を承認する方式です。Microsoft Authenticator や Google のプロンプト認証が代表例で、ワンタップで承認できる利便性があります。
- ハードウェアセキュリティキー: YubiKey や Google Titan Security Key などの物理デバイスによる FIDO2/WebAuthn 認証です。フィッシング耐性が極めて高く、物理的にキーを所持していなければ認証を突破できません。
- パスキー (Passkeys): 生体認証 (指紋・顔認証) と連携した次世代の認証方式です。FIDO2 規格に基づき、フィッシング耐性が高く、パスワードレスの認証を実現します。Apple、Google、Microsoft が対応を進めています。
SMS 認証から代替手段への移行手順
ステップ 1: 対応状況の確認
まず、利用中の主要サービスが認証アプリやセキュリティキーに対応しているか確認しましょう。多くの大手サービス (Google、Apple、Amazon、主要銀行) は認証アプリに対応しています。
ステップ 2: 優先順位をつけて移行
すべてのサービスを一度に切り替える必要はありません。金融機関、メールアカウント、SNS など、重要度の高いアカウントから順に移行してください。認証アプリのバックアップコードは安全な場所に保管しておきましょう。
ステップ 3: SIM ロックの設定
SIM スワップ攻撃への対策として、通信事業者に SIM ロック (PIN コード) の設定を依頼してください。SIM カードの再発行時に PIN コードの入力が必要になり、不正な再発行を防止できます。
認証手段の比較表
各認証手段のセキュリティ強度と利便性を比較すると、以下のようになります。
- SMS 認証: セキュリティ: 低〜中。利便性: 高。SIM スワップ攻撃や SS7 脆弱性の影響を受ける。ほぼすべてのサービスが対応しており導入が容易
- 認証アプリ (TOTP): セキュリティ: 中〜高。利便性: 中。通信経路を経由しないため傍受リスクがない。端末紛失時のリカバリーにバックアップコードが必要
- プッシュ通知認証: セキュリティ: 中〜高。利便性: 高。ワンタップで承認でき操作が簡単。対応サービスが限定的
- ハードウェアセキュリティキー: セキュリティ: 極めて高。利便性: 中。フィッシング耐性が最も高い。物理デバイスの購入費用 (3,000〜8,000 円程度) が必要
- パスキー: セキュリティ: 極めて高。利便性: 高。生体認証と連携しフィッシング耐性が高い。対応サービスが急速に拡大中
企業・サービス提供者への提言
サービス提供者側にも、SMS 認証からの脱却を進める責任があります。NIST が SMS 認証を非推奨としてから 8 年以上が経過していますが、依然として SMS 認証のみを提供するサービスは少なくありません。利用者のセキュリティを守るために、認証アプリやパスキーへの対応を早急に進めるべきです。
特に金融機関や医療機関など、機密性の高い情報を扱うサービスでは、SMS 認証を唯一の二要素認証手段とすることは避けるべきです。認証アプリやハードウェアセキュリティキーを選択肢として提供し、利用者が自身のセキュリティレベルに応じた認証手段を選択できる環境を整備してください。
日常生活での実践的なセキュリティ習慣
認証手段の移行だけでなく、日常的なセキュリティ習慣を身につけることで、電話番号を起点とした攻撃のリスクをさらに低減できます。まず、定期的に自分がどのサービスで SMS 認証を利用しているかを棚卸しし、認証アプリへの切り替えが可能なサービスから順次移行を進めましょう。パスワードマネージャーを活用すれば、登録サービスの一覧を効率的に管理できます。
また、不審な SMS メッセージには細心の注意を払ってください。「認証コードを入力してください」という SMS が突然届いた場合、自分がログイン操作を行っていなければ、第三者がアカウントへの不正アクセスを試みている可能性があります。このような場合は、該当サービスのパスワードを直ちに変更し、ログイン履歴を確認してください。電話番号を安易に共有しない意識も重要です。キャンペーン応募やアンケートなど、電話番号の入力が任意の場面では入力を控え、必要最小限のサービスにのみ番号を登録する習慣を徹底しましょう。iOS・Android の電話プライバシー設定を見直すことも、番号の露出を減らす効果的な対策です。
まとめ - SMS 認証からの脱却を
SMS ベースの二段階認証は「ないよりはまし」ですが、現代のサイバー攻撃に対しては十分な防御力を持ちません。認証アプリやハードウェアセキュリティキーへの移行は、アカウントセキュリティを大幅に向上させる効果的な対策です。特に金融機関やメールアカウントなど、重要なサービスから優先的に移行を進めてください。