ネットサービスへのログイン時、スマホに届く6桁のコードを入力する「SMS認証」。
長らくセキュリティの定番として親しまれてきましたが、最近、この仕組みを廃止したり、より新しい方法へ切り替えたりする企業が急増しています。
「便利だったのになぜ?」
「これからどうすればいいの?」
今回は、SMS認証が直面している「限界」と、次にやってくる認証の形について解説します。
スポンサーリンク
SMS認証が「危ない」と言われる3つの理由
かつては最強の防壁だったSMS認証ですが、サイバー攻撃の進化により、今では「隙だらけの壁」になりつつあります。
- 「SIMスワップ」という恐怖 電話番号そのものを盗まれる攻撃です。攻撃者がキャリアを騙してあなたの電話番号を自分のSIMカードに移し替えてしまうと、認証コードはすべて犯人の元へ届いてしまいます。
- 通信を「横取り」されるリスク SMSは古い通信規格に基づいており、暗号化が不十分なケースがあります。高度な技術を使えば、空を飛んでいる電波からコードを盗み見ることが可能なのです。
- フィッシング詐欺には勝てない 本物そっくりの偽サイトに誘導され、送られてきたコードを自ら入力してしまう「リアルタイム・フィッシング」が増えています。この場合、SMS認証は何の役にも立ちません。
企業を苦しめる「コスト」と「詐欺」
実は、廃止の理由はセキュリティだけではありません。
SMSを送信するには1通ごとに「送信料」が発生します。これを逆手に取り、自動プログラムで大量の認証SMSを送信させ、企業に膨大な通信料を請求させる「トラフィックポンピング」という詐欺が世界的に問題になっています。
企業にとってSMS認証は、「セキュリティが不安な上に、維持費も高くつく」という頭の痛い存在になっているのです。
次世代のエース「パスキー」と「認証アプリ」
SMS認証に代わって主流になりつつあるのが、以下の2つです。
- パスキー (Passkeys) スマホの指紋認証や顔認証やパターンを使ってログインする方法です。パスワード自体を使わないため、盗まれる心配がほぼゼロ。今、GoogleやAppleが最も推奨している最強の手段です。
- 認証アプリ (Google Authenticatorなど) アプリ内で数秒ごとに変わるコードを生成します。ネット経由で届くわけではないので、傍受されるリスクが極めて低くなります。
今後の流れ
米国標準技術研究所(NIST)や米サイバーセキュリティ局(CISA)などの機関は、すでに「SMS認証を避けるべき」というガイダンスを出しています。
これを受けて、Google(Gmail)やMicrosoft、金融機関などの大手サービスでは、SMS認証を廃止して「パスキー」や「アプリ認証」へ移行させる動きが加速しています。
ユーザーとしては、より安全な「生体認証」や「専用アプリ」を設定しておくことが推奨される時代になっています。
コメント