SMS認証は危険？　SMSを利用した二要素認証が減少傾向にある理由

更新日：2025年04月18日

SMS（ショートメッセージサービス）認証は、オンラインサービスで広く採用されてきた本人確認の方法のひとつ。ユーザーがアカウントにログインする際に、登録した携帯電話番号にワンタイムパスワード（一時的なパスワード）が送信されます。ユーザーはその...

イチオシスト：イチオシ編集部旬ニュース担当

注目の旬ニュースを編集部員が発信！「イチオシ」は株式会社オールアバウトが株式会社NTTドコモと共同で開設したレコメンドサイト。毎日トレンド情報をお届けしています。

このイチオシストの他の記事を読む

SMS（ショートメッセージサービス）認証は、オンラインサービスで広く採用されてきた本人確認の方法のひとつ。ユーザーがアカウントにログインする際に、登録した携帯電話番号にワンタイムパスワード（一時的なパスワード）が送信されます。ユーザーはそのパスワードを入力することで、身元を証明するというシンプルな仕組みになっています。

SMS認証は危険？SMSを利用した二要素認証が減少傾向にある理由1 — （画像はスマホライフPLUS編集部で作成）

この方法は、二要素認証（2FA）の一種として、通常のパスワードに加えて追加のセキュリティ層を提供する目的で導入されました。特に、スマートフォンの普及に伴い、SMS認証は手軽で使いやすい選択肢として多くのサービスで採用されてきました。しかし、近年、SMS認証の安全性に対する懸念が強まり、その使用が減少傾向にあります。なぜでしょうか？

SMS認証は危険？SMSを利用した二要素認証が減少傾向にある理由2 — （画像はスマホライフPLUS編集部で作成）

【SMS認証の危険性】傍受のリスク

SMS認証の最初の危険性は、メッセージが「傍受」されるリスクです。SMSは、携帯電話ネットワークを通じて送信されるテキストメッセージですが、その内容は通常、エンドツーエンドでの暗号化はされていません。つまり、平文（暗号化されていない状態）で送信されるため、適切なツールを持った攻撃者が通信を傍受すれば、ワンタイムパスワードを簡単に盗み見ることができます。

たとえば脆弱な公共のWi-Fiネットワークを利用している場合、専門知識を持つ悪意のある第三者がSMSに含まれるワンタイムパスワードを盗み見る可能性があると言えるでしょう。

SMS自体の仕様が古く、現代の暗号化基準に十二分には適合していない点がそもそも問題であるとも言えるかもしれません。

【SMS認証の危険性】SIMスワップによる乗っ取り

SIMスワップは、攻撃者が携帯電話会社を騙してユーザーの電話番号を新しいSIMカードに転送させる手口です。

SIMスワップの仕組みはこうです。攻撃者は、ユーザーの個人情報（氏名、生年月日、住所など）を不正に入手し、携帯電話会社のサポートに連絡します。そして、「SIMカードを紛失したので再発行してほしい」と偽り、ユーザーの電話番号を新しいSIMカードに転送させます。この手口が成功すると、攻撃者はユーザーの電話番号を掌握し、SMSで送られてくるワンタイムパスワードを受け取ることができます。

SIMスワップは比較的技術的なハードルが低く、ソーシャルエンジニアリングのスキルがあれば実行可能です。このような攻撃は、携帯電話会社のセキュリティ対策に依存するため、ユーザー側で防ぐことが難しい点が問題です。SMS認証が電話番号に依存している以上、このリスクは避けられません。

【SMS認証の危険性】ソーシャルエンジニアリング

最後に、「ソーシャルエンジニアリング」によるリスクも重大です。これは、攻撃者がユーザーを騙してワンタイムパスワードを直接提供させる手法です。たとえば、攻撃者はフィッシングメールや偽のWebサイトを使い、「アカウントのセキュリティを強化するためにSMSで送られたパスワードを入力してください」とユーザーに促します。ユーザーがこの偽メッセージを信じてパスワードを入力してしまうと、攻撃者はそれを入手し、正規のアカウントにアクセスできてしまいます。

サービス側のセキュリティ強化の流れもSMS認証廃止を後押し

オンラインサービス全体のセキュリティ強化の流れも、SMS認証の減少の要因のひとつ。現代のサービスは、ユーザー保護のために高いセキュリティ基準を求められており、SMS認証の脆弱性が問題視される中、より信頼性の高い認証方式への移行が不可欠となっています。たとえば、銀行や決済サービスでは、認証アプリやハードウェアトークンを使用した二要素認証が標準となりつつあります。

とはいえ、これまでSMS認証を使ってきた方にとっては、利便性と安全性を両立した他の認証手段がイメージしにくいかもしれません。代替の認証手段の例を次項でいくつかご紹介します。

SMS認証より安全な代替の認証手段はどれ？

具体的にSMS認証よりも安全な認証手段をご紹介します。

ワンタイムパスワード

認証アプリ（Google Authenticator、Microsoft Authenticatorなど）は、ワンタイムパスワードをユーザーのデバイス上で生成するため、ネットワークを介して送信する必要がなく、傍受のリスクがほぼゼロになります。また、パスワードの有効期限が短く（通常30秒）、使い捨てである点もセキュリティを高めています。

生体認証

生体認証はユーザーの身体的特徴を利用するため、偽造が極めて困難です。たとえば、AppleのFace IDやAndroidの指紋認証は、ハードウェアとソフトウェアが連携して高い精度を実現しています。これらの技術は、SMS認証と比べて利便性も向上しており、ユーザーがパスワードを入力する手間を省けます。

その他

その他の認証手段としては、まずハードウェアセキュリティキーが一定の支持を集めています。物理的なデバイスを使用して認証を行うため、フィッシング攻撃に対する耐性が高く、より安全です。このほか、パスキーやQRコードを利用した認証方法も広がりを見せています。

記事提供元：スマホライフPLUS

※記事内容は執筆時点のものです。最新の内容をご確認ください。