BLOG
ブログ
ブログ

SMS認証とは?不正ログインや複数アカウントを防止

スーツを着た男性

SMS認証は不正ログインからユーザーを守る最後の砦

2020年2月LINEの大量乗っ取りが発生し、その後4月にニンテンドーネットワークID(NNID)を経由してニンテンドーアカウントに不正にログインされる事象が発生しました。

これは任天堂側からユーザーのIDやパスワードが漏れたことが原因ではありません。任天堂の発表によると、第三者が何らかの手段で別の場所から入手したIDとPWを利用して、NNIDへなりすましログインしたことが原因とのこと。

どんなに企業がセキュリティを強化して情報漏えい対策をしていても、ユーザーがIDやPWを様々なサービスで使いまわしをしている限り100%不正ログイン、なりすましを完全に防ぐことは不可能であると言えます。

そのため、多くの企業はセキュリティ対策として「SMS認証」を導入しています。ユーザーはSMS認証を設定することで、普段使っていないデバイスからサービスへのログインが検知された際に通知を受け取れます。SMSに記載されているワンタイムパスコードを入力しない限り、IDとPWが正しくてもログインできない仕組みがSMS認証です。

任天堂はもちろん、Google、Amazon、Apple、Yahoo!、マイクロソフト、ドコモなどの大手からSNSやモバイルゲームアプリまで、様々なwebサービスで二段階認証/SMS認証が利用されています。

特にGoogleは、ユーザーへ頻繁にGmailで二段階認証/SMS認証の設定を呼びかけています。Googleには二段階認証について解説する専用サイトがあり、SMS認証の設定方法、やり方や仕組み、重要性について述べられています。

▼2段階認証プロセス(Google公式ウェブサイト)
https://www.google.com/landing/2step/?hl=ja

SMS認証はメールより安心・安全

二段階認証にはSMS以外にメールを使う方法がありますが、メールアカウント自体が乗っ取られるリスクがある(メールのログインID・PWが他サービスと同じという人も多い)ので、完全にセキュアとは言い切れません。

しかし、SMS認証の場合は本人が所持している携帯電話に一度限りの暗証番号「ワンタイムパスコード」が届くため、基本的には本人しか確認のしようがありません。そのため、本人確実性がメールよりも格段に上がります。また、携帯電話は契約の際に必ず身分証明証を提出するので、誰が作ったか分からない無料のアドレスよりも本人確実性が高いと言えます。

ワンタイムパスコードは4桁以上のランダムの数字が多く、送られてきてから入力までに時間制限があります。つまり、使い捨てのコードです。時間が経過しすぎた番号は入力しても認証されず、ユーザーは再度認証用の番号を取得する必要があります。

SMS認証で使用するSMSとは、ショートメッセージサービスの略称で、携帯番号宛てに送る短いメッセージ機能です。iPhoneやAndroidなどのスマホ、ガラケーに標準搭載されており、世界中でモバイルアプリやオンラインサービスの本人認証方法として活用されています。

SMS認証の活用例

  • オンラインショッピングのサイトやアプリの登録時
  • 音楽や動画などの月額制サービスを別デバイスからログインしようとしている時
  • SNS系のサービス、ゲームやアプリを別デバイスからログインしようとしている時
  • 金融、証券、保険など取引時や振込時
  • ポイントサービスでのポイント交換時

SMS認証は複数アカウント登録の抑制にも効果的

SMS認証は不正ログインを防止するだけではなく、複数アカウントの登録の抑制もできます。なぜなら、携帯番号はメールアドレスよりも取得が容易ではなく、個人が1人でいくつもの番号を持っている人はあまりいないからです。

複数アカウントは転売目的で作成されることが多く、例えば有名アイドルのコンサートチケット、購入数に制限のある人気商品を一度に大量に仕入れるために使われたり、ひとつのオンラインプラットフォームで大量出品するために使われたりします。また、転売目的以外では、複数アカウントを作成して1度限りのクーポンを何回も入手して使う人もいます。

しかし、ユーザー登録時にSMS認証を要求することで、1人の人物が複数のアカウントを登録しにくくなります。これによりサービスの不正利用を防ぎ、不正利用による被害も抑制できるのです。

企業がSMS認証を取り入れるためには

SMS認証APIの仕組み

SMS認証をサービスに実装させるためには、SMS配信会社と契約し配信用のAPIを取得する必要があります。その際に注意したいのが、ユーザーが利用している通信会社や住んでいる地域です。

SMS認証で送られてくるワンタイムパスコードは、ユーザーがサービスを利用するために必要です。SMSが届かないという事態は致命的。そのため、SMS認証導入の際はSMS配信会社が保有している配信ルートに着目しましょう。

SMS配信会社はそれぞれが独自に通信会社とコネクションを持ち、SMS配信ルートを保有しています。このルートによって到達率はもちろん、SMSを届けられる国も変わってきます。SMS認証を検討する場合は、SMSを届けたいユーザーが利用している通信会社(ドコモ、au、ソフトバンク、楽天モバイル等)や住んでいる地域を事前にSMS配信会社に伝え、適切なルートをアサインしてもらいましょう。

CM.comは世界17ヶ国21ヶ所に拠点を構え、世界中の1,000以上の通信会社とコネクションがあり、199ヶ国へSMS配信が可能です。CM.comは月間アクティブユーザー数2200万人の超巨大SNSアプリへSMS認証システムを提供しており、大量一斉配信にも耐えられる安定した技術とセキュリティを持っています。

さらに、CM.comではSMS配信とは別にSMS認証専用のAPIを用意しています。SMS認証専用APIには、SMS配信・パスワード生成・認証がすべて揃っています。そのため、SMS配信APIで二段階認証を開発するよりも簡単にSMS認証を実装できるのでおすすめです。

自社のシステムにSMS認証を導入し、セキュリティを強化しませんか?ご検討中の方はお気軽にお問い合わせください。SMS認証APIの仕様書や費用に関する資料を送付します。

CM.com最新情報