SMS認証とは?携帯電話番号を使った本人確認の仕組みと導入方法

はじめに

登録された携帯電話に認証コードを記載したショートメッセージ(SMS)を送信し、用意された入力フォームに当該コードを入力するいわゆるSMS認証は、本人確認をより確実に行うための手段として多く採用されています。

携帯電話を所持しているという確認は専用のカードやハードウェアを携帯しなくても良いというメリットがあり普及が進んでいます。

この記事では、SMS認証のメリット・デメリット、活用方法等について解説いたします。

SMS認証とは?その仕組みは?

SMS認証とは、携帯電話やスマートフォンのショートメッセージングサービス(SMS)に認証コードを送ってログイン時等のなりすましを抑止する認証方式です。

多くの方が、会員サイトのログイン、仮想通貨の新規口座開設、パスワードの再設定等をする際にこの認証方式を経験されているのではないでしょうか。 SMS認証では多くの人が所持する携帯電話番号の基本機能であるメッセージ送受信機能を使用するため、特別に所持認証のためのハードウェアを準備する必要ありません。

また携帯電話が自動的に受信し通知してくれるため手間がかからないのもSMS認証の特長と言えるでしょう。

SMS認証の仕組み①
SMS認証の仕組み②

本人確認に重要な「身元確認」と「当人認証」

本人確認に関する法律の代表的なものとして警察庁が所管する「犯罪による収益の移転防止に関する法律」があります。本人確認事項は「本人特定事項の確認」や「取引時確認」等という言葉で表現されており特定された事業者の特定の取引では所定の本人確認が義務化されています。

経済産業省でも「オンラインサービスにおける身元確認に関する研究会」をなどを中心にオンライン上での本人確認について議論をしており、本人確認については「身元確認」と「当人認証」という2つの認証方式を合わせて本人確認を行うべきであるとしています。

「身元確認」とは公的な身分証明書類を所持していることを確認し、かつ身分証に記載されてる住所に居住していることを確認することを基本としており、すでに身元確認済の事業者へ照会をおこなう方法も認められています。

「当人認証」とは当人しか知らない/当人のみ持っている/当人だけの生体的特徴の情報を用いて身元確認を行った人物と同一であることを確認することが推奨されています。

認証定義
身元確認・公的な身分証明書類を所持している
・身分証に記載されてる住所に居住している
上記2つの確認を行うことを基本としている
当人認証・当人しか知らない
・当人のみ持っている
・当人だけの身体的特徴の情報
いずれかを用いて身元確認を行った人物と同一であることを確認することが推奨されている

前述のとおり「当人認証」には「多要素認証」が推奨されていますが、さらにセキュリティを高めるためには「二段階認証」という方法を採用することが望まれます。
これらの認証方法について続いて説明していきたいと思います。

→認証について詳しく見る

二段階認証とは

まず「二段階認証」はどう定義されるのでしょうか。

二段階認証とは、1回認証した後に、さらに2回目の認証を行う方式です。

よく見かけるのは端末からID・パスワード等を入力、認証後に発行される認証コードやワンタイムパスワード等を再度入力するといった方法ではないでしょうか。

広義においては、以下例すべてが二段階認証と言えます。

多要素認証とは

一方で認証を行う際は、「多要素認証」がセキュリティの観点で推奨されています。

「多要素認証」とは「知識情報」、「所持情報」、「生体情報」の3つの要素うち、異なる2つ以上の要素組み合わせ認証を行うことです。

オンライン取引でよくみる認証パターンはユーザーID+パスワード、メールアドレス+パスワード等、知識情報のみで行われていることが多く、推測や総当たりで突破されてしまうリスクが高くなります。

多要素認証の種類

では、実際にどういった要素を使って認証をおこなうのか見ていきたいと思います。

まず、所持情報を活用した認証ですが、知識情報と組み合わせ多要素認証を実現します。

所持情報としては、本人しか所持していないもの(カード番号、ハードウエアトークン、乱数表カード等)が挙げられます。

所持情報の種類

このように所持情報を追加した認証では、下記のような効果が期待されます。

  • ブルートフォースアタックで回数内に突破されることを防ぐ
  • ハードウェアトークンで突破しようとしている間に、現在時刻を利用したアルゴリズムによる番号変更で時間的に突破を防ぐ

しかしこれらの所持情報は、下記のようなデメリットがあります。

  • 悪意ある第三者に盗まれてしまうと不正が可能
  • 専用機器を携帯しなければならないという不便さ
  • 専用機器であるがゆえに、盗難に気付きにくい

では、生体情報はどうでしょうか。

生体情報は本人であるということを直接的に証明する要素であるため、なりすまし防止の効果が高く、なりすましを防ぎたい際には有効だと考えられます。

生体情報では下記のような要素が挙げられます。

センサーの専用ハードウェアーを考慮すれば様々な認証が実現ができますが、

オンラインサービスにおいてはデバイスに依存してしまうため、現実的な認証方法としては指紋、顔あたりが挙げられます。

1指紋手軽で信頼性の高い認証方式
2DNA血液や唾液など体の一部分のサンプル取得し鑑定を行う方法
3掌形手のひらの幅や、指の長さなどを用いて認証する方法
4網膜眼球の奥に位置する目の網膜の毛細血管のパターンを認識する方法
5虹彩眼球の表面に位置する虹彩パターンの濃淡値のヒストグラムを用いる認証方式
6顔の画像から目の位置等の特徴を取得し認証する方法
7血管近赤外光を手のひら等に透過させて得られる静脈パターンで認証する方法

生体情報は所持情報と比較し、奪うことができないためセキュリティは高いものの、偽装が完全に不可能ではないという点は忘れてはいけません。

また、偽装を防ぐために判定の基準を厳しくすれば、本当の本人であるのに認証されないというような事態も考えられます。

生体認証において、ユーザビリティと精度がトレードオフになるという点は抑えておくべきポイントと言えます。

SMS認証のメリット・デメリット

SMS認証のメリット

上記で述べた認証方法に当てはめると、例えばサイトのログイン時のSMS認証はID・パスワードという「知識情報」とSMSを受信できる携帯電話を所持している「所持認証」を掛け合わせた「多要素認証」に当てはまります。

Eメールで認証番号を送る方式との違いとしては、Eメールは端末を持っていなくてもログインできる「知識情報」なのに対して、SMSを利用した二段階認証は、「所持情報」により多要素化ができる点や、紛失に気づきやすい点において、ユーザビリティとセキュリティを両立できる便利な認証方法であると言えます。

また、SMS認証は他の所持情報と比較してほとんどの場合ユーザーが既に所持しているアプリに番号を送る方式のため、別途デバイスの用意やアプリの開発が必要なく、ユーザー・事業者ともに導入ハードルが低いと言えます。

SMS認証のメリットまとめ

1. 所持情報×知識情報をかけあわせた多要素認証なので、比較的強固な認証方法といえる
2. 携帯電話に番号を送るため、紛失に気づきやすい
3. ユーザーが既に所持しているデバイスを利用して認証するため、使いやすい

SMS認証のデメリット

一方で、SMS認証はユーザーが端末の設定を受信拒否にしていたり、電話回線の契約をしていないMVNO(格安SIM)の携帯電話には届かないといったデメリットがあります。

また2016年7月に米NIST(国立標準技術研究所)の見解では、安全ではないという見解を示しています。

その理由は以下の3つの懸念によるものです。

SMSによる二要素認証の懸念点

  1. ロックされたデバイスの画面へ認証コードが表示される
  2. 「SIMスワップ」というなりすましが可能
    利用者がSIMカードを紛失・破損したときに通信事業者に連絡し、別のSIMカードに電話番号を移してもらう
  3. 「SMSインターセプト」
    マルウェアやスパイウェアなどによりSMSの内容を傍受したり、ネットワーク上からデータを盗む

確かに懸念はあるものの国内においては、利用しやすい認証として現在も広く普及しているのが実態となります。

SMS認証のデメリットまとめ

1. ユーザーが受信拒否設定をしている場合や一部MVNO(格安SIM)には届かない場合がある
2. 100%の安全性を担保する認証方法ではない

SMS認証と他の認証方式の組み合わせ

ここまでSMS認証のみについて解説しましたが、SMS認証を「当人認証」に使用し、より強固な本人確認方法で「身元確認」を行うことでよりセキュリティの高い本人確認を行うことができます。

下記の図は犯罪収益移転防止法に沿ったeKYCを活用して本人確認を行い、SMS認証で当人認証を行う例です。

このように初回登録時に身元確認を行い、ログイン時等にSMS認証のような便利な認証方法で当人認証を行うことで、ユーザーがサービスを利用する際により強固なセキュリティを実現することが可能です。

まとめ

一般的なIDとパスワードの組み合わせでは、共通してパスワード等を利用しているユーザーが多い場合、不正利用に対する被害が防ぎづらくなってしまいます。

対してSMS認証は手軽でセキュリティの高い、現在では一般的な認証方法と言えるでしょう。

より低コスト、到達率の高いSMS認証に対応できるショーケースのカンタンSMS認証については下記からお問い合わせください!

SMS認証について
お問い合わせする

オンライン本人確認/カンタンeKYCツール「ProTech ID Checker」

ProTech ID Checker

マネー・ローンダリングやテロ資金供与防止を目的とした「犯罪収益移転防止法」に準拠したオンライン本人確認/eKYCツールです。
セキュリティ対策は万全であり、厳しい検証プロセスに基づいたネットワーク・セキュリティを有する金融機関にもご採用いただいております。

サービスの特徴
・導入方法は対象ページにタグを設置するだけ。最短1週間で実装できます。
・また、既存のWEBサイト上で本人確認認証が完結します。
・ユーザーは専用アプリのインストールや別サイトでの確認も不要。
・ProTech ID CheckerはスピーディーかつカンタンにeKYCの導入を可能にします。

株式会社ショーケース eKYCコラム編集部
  • 株式会社ショーケース eKYCコラム編集部
  • eKYCツールProTech ID Checker」を提供する株式会社ショーケースのeKYCコラム編集部です。実際にeKYCを日々営業活動&製品提供するスタッフがコラムの執筆から編集まで行っています。

    このコラムではProTech ID CheckerやProTech AI Maskingに関わる、法令・商品の機能・導入事例や統計などをまとめて随時提供していきます。