はじめに

SMS認証とは？その仕組みは？

SMS認証とは、携帯電話やスマートフォンのショートメッセージングサービス（SMS）に認証コードを送ってログイン時等のなりすましを抑止する認証方式です。

多くの方が、会員サイトのログイン、仮想通貨の新規口座開設、パスワードの再設定等をする際にこの認証方式を経験されているのではないでしょうか。 SMS認証では多くの人が所持する携帯電話番号の基本機能であるメッセージ送受信機能を使用するため、特別に所持認証のためのハードウェアを準備する必要ありません。

また携帯電話が自動的に受信し通知してくれるため手間がかからないのもSMS認証の特長と言えるでしょう。

本人確認に重要な「身元確認」と「当人認証」

本人確認に関する法律の代表的なものとして警察庁が所管する「犯罪による収益の移転防止に関する法律」があります。本人確認事項は「本人特定事項の確認」や「取引時確認」等という言葉で表現されており特定された事業者の特定の取引では所定の本人確認が義務化されています。

経済産業省でも「オンラインサービスにおける身元確認に関する研究会」をなどを中心にオンライン上での本人確認について議論をしており、本人確認については「身元確認」と「当人認証」という2つの認証方式を合わせて本人確認を行うべきであるとしています。

「身元確認」とは公的な身分証明書類を所持していることを確認し、かつ身分証に記載されてる住所に居住していることを確認することを基本としており、すでに身元確認済の事業者へ照会をおこなう方法も認められています。

「当人認証」とは当人しか知らない/当人のみ持っている/当人だけの生体的特徴の情報を用いて身元確認を行った人物と同一であることを確認することが推奨されています。

前述のとおり「当人認証」には「多要素認証」が推奨されていますが、さらにセキュリティを高めるためには「二段階認証」という方法を採用することが望まれます。
これらの認証方法について続いて説明していきたいと思います。

→認証について詳しく見る

二段階認証とは

まず「二段階認証」はどう定義されるのでしょうか。

二段階認証とは、1回認証した後に、さらに2回目の認証を行う方式です。

よく見かけるのは端末からID・パスワード等を入力、認証後に発行される認証コードやワンタイムパスワード等を再度入力するといった方法ではないでしょうか。

広義においては、以下例すべてが二段階認証と言えます。

多要素認証とは

一方で認証を行う際は、「多要素認証」がセキュリティの観点で推奨されています。

「多要素認証」とは「知識情報」、「所持情報」、「生体情報」の3つの要素うち、異なる2つ以上の要素組み合わせ認証を行うことです。

オンライン取引でよくみる認証パターンはユーザーID＋パスワード、メールアドレス＋パスワード等、知識情報のみで行われていることが多く、推測や総当たりで突破されてしまうリスクが高くなります。

では、実際にどういった要素を使って認証をおこなうのか見ていきたいと思います。

まず、所持情報を活用した認証ですが、知識情報と組み合わせ多要素認証を実現します。

所持情報としては、本人しか所持していないもの（カード番号、ハードウエアトークン、乱数表カード等）が挙げられます。

このように所持情報を追加した認証では、下記のような効果が期待されます。

• ブルートフォースアタックで回数内に突破されることを防ぐ
• ハードウェアトークンで突破しようとしている間に、現在時刻を利用したアルゴリズムによる番号変更で時間的に突破を防ぐ

しかしこれらの所持情報は、下記のようなデメリットがあります。

• 悪意ある第三者に盗まれてしまうと不正が可能
• 専用機器を携帯しなければならないという不便さ
• 専用機器であるがゆえに、盗難に気付きにくい

では、生体情報はどうでしょうか。

生体情報は本人であるということを直接的に証明する要素であるため、なりすまし防止の効果が高く、なりすましを防ぎたい際には有効だと考えられます。

生体情報では下記のような要素が挙げられます。

センサーの専用ハードウェアーを考慮すれば様々な認証が実現ができますが、

オンラインサービスにおいてはデバイスに依存してしまうため、現実的な認証方法としては指紋、顔あたりが挙げられます。

生体情報は所持情報と比較し、奪うことができないためセキュリティは高いものの、偽装が完全に不可能ではないという点は忘れてはいけません。

また、偽装を防ぐために判定の基準を厳しくすれば、本当の本人であるのに認証されないというような事態も考えられます。

生体認証において、ユーザビリティと精度がトレードオフになるという点は抑えておくべきポイントと言えます。

SMS認証のメリット・デメリット

SMS認証のメリット

上記で述べた認証方法に当てはめると、例えばサイトのログイン時のSMS認証はID・パスワードという「知識情報」とSMSを受信できる携帯電話を所持している「所持認証」を掛け合わせた「多要素認証」に当てはまります。

Eメールで認証番号を送る方式との違いとしては、Eメールは端末を持っていなくてもログインできる「知識情報」なのに対して、SMSを利用した二段階認証は、「所持情報」により多要素化ができる点や、紛失に気づきやすい点において、ユーザビリティとセキュリティを両立できる便利な認証方法であると言えます。

また、SMS認証は他の所持情報と比較してほとんどの場合ユーザーが既に所持しているアプリに番号を送る方式のため、別途デバイスの用意やアプリの開発が必要なく、ユーザー・事業者ともに導入ハードルが低いと言えます。

SMS認証のメリットまとめ

1. 所持情報×知識情報をかけあわせた多要素認証なので、比較的強固な認証方法といえる
2. 携帯電話に番号を送るため、紛失に気づきやすい
3. ユーザーが既に所持しているデバイスを利用して認証するため、使いやすい

SMS認証のデメリット

一方で、SMS認証はユーザーが端末の設定を受信拒否にしていたり、電話回線の契約をしていないMVNO（格安SIM）の携帯電話には届かないといったデメリットがあります。

また2016年7月に米NIST（国立標準技術研究所）の見解では、安全ではないという見解を示しています。

その理由は以下の３つの懸念によるものです。

SMSによる二要素認証の懸念点

1. ロックされたデバイスの画面へ認証コードが表示される
2. 「SIMスワップ」というなりすましが可能
   利用者がSIMカードを紛失・破損したときに通信事業者に連絡し、別のSIMカードに電話番号を移してもらう
3. 「SMSインターセプト」
   マルウェアやスパイウェアなどによりSMSの内容を傍受したり、ネットワーク上からデータを盗む

確かに懸念はあるものの国内においては、利用しやすい認証として現在も広く普及しているのが実態となります。

SMS認証のデメリットまとめ

1. ユーザーが受信拒否設定をしている場合や一部MVNO（格安SIM）には届かない場合がある
2. 100%の安全性を担保する認証方法ではない

SMS認証と他の認証方式の組み合わせ

ここまでSMS認証のみについて解説しましたが、SMS認証を「当人認証」に使用し、より強固な本人確認方法で「身元確認」を行うことでよりセキュリティの高い本人確認を行うことができます。

下記の図は犯罪収益移転防止法に沿ったeKYCを活用して本人確認を行い、SMS認証で当人認証を行う例です。

このように初回登録時に身元確認を行い、ログイン時等にSMS認証のような便利な認証方法で当人認証を行うことで、ユーザーがサービスを利用する際により強固なセキュリティを実現することが可能です。

まとめ

一般的なIDとパスワードの組み合わせでは、共通してパスワード等を利用しているユーザーが多い場合、不正利用に対する被害が防ぎづらくなってしまいます。

対してSMS認証は手軽でセキュリティの高い、現在では一般的な認証方法と言えるでしょう。

より低コスト、到達率の高いSMS認証に対応できるショーケースのカンタンSMS認証については下記からお問い合わせください！

サービスの特徴

初期費用無料！ タグ設置だけで始められる！最短１週間で運用開始！ 新たなアプリ運用や開発の必要なし！