こんにちは、阿久梨絵です!
多くのサービスで使われている SMS認証 (電話番号による2段階認証)。
「とりあえず安全そうだから」と使っている方も多いと思います。
しかし近年、
SMS認証は危険です
という声が増えています。
なぜ、広く使われている仕組みが“危険”と言われるのでしょうか。
この記事では、その理由をわかりやすく解説します。
1. SIMスワップ(SIM乗っ取り)が増えているためです
SMS認証が危険と言われる最大の理由が SIMスワップ攻撃 です。
SIMスワップとは
攻撃者が携帯会社に嘘の申請をして、
あなたの電話番号を攻撃者のSIMカードに移してしまう 手口です。
これが成功すると──
・あなたのスマホには電波が来なくなる
・攻撃者のスマホにSMSが届く
・2段階認証コードがすべて盗まれる
という最悪の状態になります。
SMS認証は「電話番号=本人」と信じているため、
SIMスワップに弱いのです。
2. SMSは“盗み見”される可能性があるためです
SMSは暗号化されていない区間があり、
通信経路の一部で盗み見られるリスクがあります。
・公衆Wi-Fi
・海外ローミング
・古い通信設備
など、環境によっては安全とは言い切れません。
3. フィッシング詐欺に弱い仕組みだからです
SMS認証は、
「届いた数字を入力するだけ」 というシンプルな仕組みです。
そのため、
・偽サイト
・偽SMS
・偽ログイン画面
に誘導されると、
ユーザーが 自分で認証コードを渡してしまう ことがあります。
攻撃者にとって、もっとも狙いやすい認証方式です。
4. 電話番号は“公開情報”になりやすいからです
電話番号は、
・名刺
・SNS
・登録情報
・過去の流出データ
などから簡単に入手されます。
攻撃者が電話番号を知っているだけで、
SMS認証の突破に近づいてしまうのです。
5. 海外ではすでに「SMS認証は非推奨」です
アメリカのNIST(標準技術研究所)は、
SMSを2段階認証として使うことを推奨しない と明言しています。
理由は、
・盗聴リスク
・SIMスワップ
・SMSの仕組みの古さ
など、この記事で紹介した内容と同じです。
では、どうすれば安全になるのか?
SMS認証を完全にやめる必要はありませんが、
より安全な認証方式を優先することが大切です。
おすすめの認証方式
・認証アプリ(Google Authenticator / Microsoft Authenticator)
・パスキー(Passkey)
・ハードウェアキー(YubiKeyなど)
これらは、
・SIMスワップに強い
・フィッシングに強い
・盗聴されない
という特徴があります。
まとめ
・SMS認証が危険と言われるのは、SIMスワップ・盗聴・フィッシングに弱い ためです
・電話番号は簡単に入手されるため、攻撃者に狙われやすいです
・海外ではすでに「SMS認証は非推奨」という流れがあります
・より安全な認証方式(パスキー・認証アプリ)を使うことで防げます
SMS認証は便利ですが、
“安全性が高い”とは言い切れません。
これを機に、より強い認証方式を選んでみてください。
阿久梨絵でした!
