たまに役立つセキュリティ豆知識 第87回

選択肢があるなら別の多要素認証に変更するのがベター

実は盗まれやすい!? 「SMSによる多要素認証」が徐々に消え始めている

フィッシング詐欺などで盗まれてしまう可能性アリ

お手軽な認証方法だが……

Ｑ：「SMSによる多要素認証」ってなに？

Ａ：おもにWebサービスを利用する際、IDとパスワードによる認証に加えて、SMS（ショートメッセージサービス）で送信された認証コードやワンタイムパスワードを入力することで本人確認する認証方式。

　スマートフォンが普及して以降、二要素認証（2FA）の一手段として多くのサービスで採用されてきた。しかし近年、SMS認証の危険性が高いとされ、サービス側のセキュリティ強化の流れとともに廃止されることも珍しくない状況だ。

　その理由として、SMSの盗聴・傍受という問題がある。SMSによるコード・パスワード送信は基本的に平文で送られるため、悪意ある第三者によって通信が傍受され不正に取得される可能性がある。

　また、攻撃者がユーザーになりすまして携帯キャリアに連絡し、不正にSIMカードを乗っ取る「SIMスワップ攻撃」を使った場合、スマホの電話番号が奪われるだけでなく、SMSに送られてくるコード・パスワードを窃取することも可能になってしまう。

　さらに、「アカウントのセキュリティを強化する」というようなフィッシングメールを送り、ユーザーからIDとパスワードと同時にSMSで送られたコード・パスワードも入力させることで、不正アクセスを許してしまう事例も生じている。

　そのため、SMS認証に代わって「認証アプリ」や「生体認証」の活用が増加傾向にある。特に、2025年前半に猛威を振るった証券口座乗っ取りトラブル以降、SMS認証を避ける動きは加速している。