SMS認証の導入例・活用シーン5選

SMS認証はセキュリティが高いなどの理由により、さまざまな場面で活用されるようになりました。電話番号認証とも呼ばれており、本人確認が必要なときに用いられています。導入する企業が増えていることを知っていても、どのように使われているのか詳しくは把握していない方も多いのではないでしょうか。この記事では、まずSMS認証について説明し、導入例や活用シーンを5つピックアップして紹介します。

SMS認証をおさらい

SMSが本人確認時に利用される理由

SMS認証とは本人確認の手法の一つであり、スマートフォンなどの携帯端末でSMSの機能を利用して実施します。このSMSとは、電話番号を使って短いメッセージの送受信を行えるサービスのことで、ほとんど全ての携帯電話に標準機能として備わっています。
一般的に、携帯電話の契約時は運転免許証や健康保険証といった身分証明書の提出を求められる上に、1つの携帯電話番号を複数人で使い回すことは原則できません。そのため電話番号は契約者本人との結びつきが強い情報です。つまり、電話番号を利用してやり取りを行うSMSでは、メッセージを受け取る個人が間違いなくその人物であるという前提で連絡を行えます。このような特徴から、SMSを認証として用いているのです。

SMS認証の流れと必要な理由

SMS認証の大まかな流れは下記の通りです。

1. システム側で認証コードを作成
2. 認証コードをSMSに記載してユーザーへ送信
3. ユーザー側で認証コードをフォームなどに入力
4. 入力された認証コードが合っていれば認証完了

まず最初にシステム側で認証コードを作成します。この認証コードは、多くの場合で1回限りかつ使用期限が設けられており、次の認証時はまた別の認証コードが発行されるようになっています。認証コードを発行したら、それをSMS内に記載し、登録されている携帯電話番号宛てに送信。受信したユーザーは記載されている認証コードを確認して登録フォームへ入力し、合致していれば認証完了です。
このような面倒なことをせず、利用者が設定したパスワードを入力すれば良いと思う人もいるでしょう。しかし、パスワードをユーザーが使い回していた場合、一度情報流出が起きると様々なサービスでも連鎖的に不正ログインが可能となります。しかしSMS認証を導入しておけば、流出したパスワードを用いて悪意あるユーザーが不正ログインを試みても、認証コードの記載されたSMSを受け取ることができず、ログインできません。情報化社会となり携帯端末が普及した近年において、多くの人が手軽に行える方法としてSMS認証は定着しているのです。

導入例① 金融機関での振り込み

特に金融業界では所有物認証が積極的に導入されています。SMS以外にトークンなどもよく用いられているため、両者のメリットとデメリットをチェックしておきましょう。

金融機関を狙ったサイバー犯罪の増加

金融機関のIT化が進んだことで、インターネットを用いた取引が、企業間のみならず一般消費者の間でも広く行われるようになりました。そのようなサービスはネットバンキングと呼ばれており、銀行やATMへ行かずとも取引できる利便性の高さが特徴です。しかし一方で、セキュリティの弱点を突いた事件も頻発しており、不正送金をはじめとして金銭的な損害をもたらすサイバー犯罪の標的になるリスクが生じています。

振り込みの前やログイン時にSMS認証を導入

振り込みなど資金の移動を伴う処理やネットバンキングサービスのログイン時にSMS認証を実施。入力された内容が間違っていたり一定時間内に入力されなかった場合は、本人以外が取引している可能性があるとして手続きを進められないようにし、不正利用による被害を防げます。

まず、多くのサービスで利用されているパスワードを用いる認証方式は知識認証と呼ばれています。自分で好きな文字列を設定できるため、パスワードというのは基本的に本人しか知り得ない情報です。だからといって同じパスワードを使い回していると、どこかで情報漏洩が発生した際に他のサービスで不正ログインが可能となってしまいます。

一方でSMSは、基本的にその携帯電話番号を利用している本人しか受け取れない連絡手段です。SMSを利用する際にログインの必要はなく、そのためIDやパスワードもありません。SMSを受信するには、その携帯電話番号が割り当てられたSIMカードが必要で、このSIMカードは携帯電話の中に格納されているため、オンライン上で盗むのは不可能です。このように、所有している物が認証媒体となる方法を所有物認証と呼びます。

万が一、使い回しているパスワードが流出して不正送金が行われそうになっても、SMS認証を導入していれば第三者からのログインなどを弾いて被害を防ぐことができます。
また、認証コードを入力するだけなので、ユーザー側に専門的なIT技術が不要であることもメリットです。もちろん、入力前に行う認証コードの確認も、普段メッセージを見ている手順で容易に行えます。

一方、SMS認証のデメリットとしては、携帯端末を持っていなかったり、バッテリーが切れている場合に利用できないことが挙げられます。さらに、通信トラブルなどの理由で認証コードを受信できない場合も使えないので気を付けましょう。

携帯電話を所有していない場合はトークン

SMSの他にも所有物認証として金融機関で活用されているのがトークンです。SMS認証は1回しか使えないパスワードが発行されて携帯電話へ届くのに対し、トークンは専用機器内でパスワードが生成されて表示されます。トークンにはカード型やキーホルダー型などがあり、携帯しやすいサイズやデザインが採用されているのが特徴です。機器は金融機関が用意してくれるため、携帯端末を持っていない人でも利用できることがメリットといえます。その上、外出時の携帯端末のバッテリー切れや通信トラブルなどを心配する必要もありません。

一方で、機器を持っていないときに利用できないことがデメリットです。必要な場合に備えて携帯端末のように持ち歩く必要があり、手元にない場合は認証を行えません。加えて、金融機関側でトークンを用意するコストや、故障・不具合時の運用の手間などもあります。

導入例② 決済サービスへのログイン

キャッシュレス化が進み、さまざまな決済サービスが登場しました。それらのログイン時にもSMS認証がよく用いられています。また関連する事柄として、リスクベース認証やパスワードリスト攻撃についても押さえておきましょう。

決済サービスに利用される理由

電子マネーやクレジットカードをはじめとして、決済サービスの種類は多岐にわたります。具体的な使い方は種類によって異なりますが、アカウントにログインしていれば手軽に決済でき、中にはインターネット上でチャージを行うものもあります。これらは手軽に行える一方で、自分以外にログインできる人がいれば、勝手にチャージや支払いをされてしまうリスクもあるのです。

そのため多くの決済サービスでは、不正利用防止のためにSMS認証が導入されています。上述のとおり、決済サービスは携帯端末での利用を前提としているケースが多いこともあり、携帯電話の機能であるSMSを利用したセキュリティ強化と相性が良いのもメリットです。本人であれば、どこにいてもログインできますし、その流れでチャージや支払いなどもスムーズに行えます。

リスクベース認証でユーザビリティも確保

しかし、毎回ログイン時にSMS認証を行うのは手間がかかります。そのため、決済サービスの中にはリスクベース認証を採用するものも多くなっています。
リスクベース認証とは、ログインを試みた端末や接続元のIPアドレスが通常時と異なっていた場合のみ、追加で認証を行う方式です。そのため、いつもと同じ環境からサービスを利用する際はパスワードとIDのみでログインでき、操作性を確保しながらセキュリティレベルを高められるのがポイントです。

パスワードリスト攻撃とは

決済サービスの不正ログインで用いられる手段として、パスワードリスト攻撃が挙げられます。これは、他サービスで漏洩したIDとパスワードのリストを使って不正ログインを行う行為です。手あたり次第パスワードを入力していく総当たり攻撃と比べて、試行回数が少なく済みます。そのため、決済サービス側で本人の入力ミスと不正ログインを区別することが難しく、不正の摘発につながりにくいことが問題です。したがって、パスワードだけに頼るのではなく、SMS認証を設定しておくことには大きな意味があります。

導入例③ チケットを含むECサイト

ECサイトが人気商品を販売した際、それを買い占めて高額転売を行う業者などが存在します。特に高額転売が大きな問題になっている商品はイベントのチケットです。有名なアーティストが行うライブのチケットなどは、発売してすぐに売り切れてしまうことも珍しくありません。購入者のなかには転売を目的とする人も多いため、イベントの主催側は対策を強化しているのが実情です。パスポートのような証明書類の提示や、顔や指紋を使う生体認証を受けることを会場で求めるケースが増えています。

ECサイト側の対策として会員制にして1人あたりの購入数を制限しても、1人が複数の会員IDを発行すれば制限なく購入できてしまいます。この防止策としてSMS認証が役立つのです。会員登録の際に携帯電話番号の入力を必須とし、すでに登録されている電話番号は利用できないようにすることで重複登録を防げます。また、他者の電話番号を勝手に登録できないよう、SMS認証が完了した場合のみ会員IDを発行できるようにすることで、業者による買い占めを防いでいるのです。また、購入者の身元が明確になることも転売行為の抑制につながっています。

導入例④ SNSの新規アカウント作成

コミュニケーションや情報発信の手段であるSNSにも、SMS認証は取り入れられています。ログイン時にSMS認証を行うことでアカウントの乗っ取りを防ぐほか、複数アカウントの作成を制限できます。
もし、いくつでもアカウントを作成できる状態の場合、多数の情報端末からアクセスして大きな負担がかかるDDoS攻撃を受けやすくなるリスクがあります。さらに、SMS認証を導入することで身元を運営側が把握でき、他の利用者を偽サイトに誘導するなどのフィッシング詐欺防止も見込めるのがメリットです。

導入例⑤ その他の活用シーン

上記以外にもSMS認証は様々なシーンで活用されています。メールアドレスを提供するサービスもその一つです。SMS認証により、1人が複数のメールアドレスを取得する事態を防げます。またメールを使用する際のログイン時にSMS認証を導入することで、メールアドレスの乗っ取り対策としても効果的です。万が一乗っ取られると、他のサービスの申し込みや商品の購入に利用されたり、メールを読まれてプライバシーの侵害に使われたりする可能性もあります。メールを安心して利用できるように、そのようなリスクを軽減できるSMS認証は重要な存在です。

その他に、習い事でも導入されているケースは珍しくありません。例えばリモートの授業において、SMS認証を受けた人だけが参加できるようなシステムも使われています。教室で対面して指導する習い事でも、個人情報の登録や料金の請求などはオンラインで実施することが多くなりました。それらの情報を保護する目的で、SMS認証を使用しているケースもあります。

SMS認証をできない場合はIVR認証が有効

近年、ほとんどの方が携帯電話を所有しているものの、高齢者など利用していない場合もあります。また、携帯電話を持っていても、必ずしもSMSの機能を利用できるとは限りません。例えば、格安SIMのデータ通信専用のプランには電話番号が付与されていないため、SMSを利用できないことがあります。このようにSMS認証を行えない人がいることを想定して、別の手段を設けておくことも重要です。

SMS認証を行えない時の具体的な対策方法として、IVR認証が挙げられます。IVRとは「Interactive Voice Response」の略であり、音声による自動応答の仕組みです。コールセンターなどに電話をかけたときに、あらかじめ録音された音声を聞いた経験がある人は多いのではないでしょうか。オペレーターが対応する前に、問い合わせのカテゴリをプッシュボタンで選択させるような使い方が一般的です。
このIVR認証の場合は2種類の流れがあります。まず、登録された電話番号にシステム側から発信し、認証コードが自動的に読み上げられるアウトバウンド方式。2つ目に、指定されたIVR認証用番号にユーザーが登録した電話番号から発信し認証が完了するインバウンド方式です。

SMSもIVRも電話番号を使用する点は共通しているため、あまり差がないように感じる人もいるかもしれません。しかし、IVR認証は固定電話でも行えるという大きなポイントがあります。SMS認証が行えなかった時は自動的にIVR認証へ切り替えられる専用のAPIを提供している法人向けのSMS送信サービスを利用すれば、簡単に導入が可能です。

まとめ

オンラインのサービスが増えている現代において、セキュリティの強化は大きな課題です。SMS認証はそれに役立つ重要な仕組みであり、すでに多くの場面で用いられるようになりました。スマートフォンの普及により需要はますます高まっています。これから導入や活用をしていきたいなら、どのような事例があるのか十分にチェックしておきましょう。