SMS認証とは?2要素認証にする安全性と危険性を解説!
2要素認証という言葉を知っていますか?昨今のWEBサービスは、ID・パスワードだけの認証ではセキュリティ的に不十分いわれ、多くのサービスがSMS認証などの2要素認証を導入しています。この記事では2要素認証のSMS認証の仕組みや安全性と危険性について解説します。
目次
2要素認証の安全性と危険性とは
昨今の会員制サービスでは、ID・パスワードでの認証に加え、利用者の電話番号にSMSで認証コードを送り、その認証コードが合って初めてサービスにログインできるようなサービスが増えてきました。
この記事では、2要素認証の紹介と、2要素認証の中でも特にSMS認証についての安全性と危険性について紹介していきます。
2要素認証の仕組み
まず、認証には[知識認証]、[所有物認証]、[生体認証]など、いくつかのの方式があります。2要素認証とは、その認証方式を2つ組み合わせた認証方式のことを指します。
従来のID・パスワードだけ認証する1要素認証の方式の場合、ID・パスワードが流出した場合、悪意のある第3者に容易に認証を突破されてしまいます。2要素認証の場合、片方の情報が流出しても、もう一方の情報が漏洩していなければ、セキュリティを確保できるため、多くのサービスで導入されています。
知識認証とは
知識認証とは、ID・パスワードや、スマホなどに設定するPINコードなど、本人だけが知っている知識で認証を行う仕組みです。
所有物認証とは
所有物認証とは、本人だけが持っている物で認証を行う仕組みです。キャッシュカードや、ワンタイムパスワード発行機などの物や、本人でしか受信できないSMS・メールアドレスに確認メッセージを送って認証するのも所有物認証です。
生体認証とは
生体認証とは、本人の指紋・顔・静脈などの身体的特徴で認証する仕組みです。最近のスマートフォンは、指紋や、顔認証で端末のロックを解除できる物が増えてきましたが、これが生体認証です。
SMS(電話番号)認証とその仕組みとは
昨今のWEBサービスでは、SMS(電話番号)認証を行うサービスが増えてきました。SMS(電話番号)認証とは、利用者の電話番号にSMSで認証コードを送り、画面に送られてきたコードを打ち込むことで初めてサービスにログインできる仕組みです。
Apple、Googleなど、多くのサービスがこの認証方式を導入しています。逆にID・パスワードだけで認証を行うようなサービスは減ってきています。
SMS認証の危険性
SMS認証も万全ではありません。例えばスマホを落としたりすると、拾った相手が勝手にSMS認証してしまうことが考えられます。また後述する「SMSインターセプト」で情報が漏洩する危険性もあります。
SMSインターセプトとは
SMSのメッセージを傍受して、SMSで送られてくる認証コードを盗むことを、「SMSインターセプト」といいます。盗まれる原因の多くは、不正なスマホアプリによってSMSが傍受されていると言われています。
スマホアプリをインストールする時に、SMSへのアクセス権限を与えると、アプリはSMSに送られてきたメッセージを参照することができます。不正なスマホアプリはこれを利用して認証コードを外部に漏洩していると言われています。
SMS認証が根強い理由
先述した通り、「SMSインターセプト」などのセキュリティの問題がある中でも、SMS認証は根強く生き残っています。以下に理由をいくつか上げます。
手軽に誰でも利用可能
SMSは、スマートフォンやフィーチャーフォン(ガラケー)でも使え多くの端末に普及している仕組みです。また、電話番号があればメッセージが送れるため、事前の設定が必要がありません。
デバイスの持ち運びが不必要
専用のカードや端末で認証する方式の場合、認証のために持ち歩く必要があり不便で煩わしいです。しかし、スマホは多くの人が日々の生活の中で肌身離さず持っています。そのため普段持ち歩いているデバイスで認証が行えるのもSMS認証が根強い理由です。
すでに普及している
SMSは、日本では2000年代以降からでに普及した仕組みで、今では広く普及しています。もし安全な方式で認証コードを送れる方式が出来たとしても、それを普及させるまでに多くの時間を要するのもSMSを止められない理由です。
SMS認証の仕組みとその危険性について
今回は、SMS認証の仕組みとその危険性について紹介してきました。SMS認証は、ID・パスワードの認証に加え、SMSで送られてきた認証コードでサービスにログインする仕組みです。「SMSインターセプト」などの危険性もありますので、怪しいアプリにSMSへのアクセス権を与えないなど、セキュリティ対策をしっかりして使っていきましょう。
