BLOG

ブログ
ブログ

SMS認証で不正ログインや複数アカウントを防止

SMS認証はユーザーを不正ログインから守る最後の砦

2020年2月LINEの大量乗っ取りが発生し、その後4月にニンテンドーネットワークID(NNID)を経由してニンテンドーアカウントに不正にログインされる事象が発生しました。

これは任天堂側からユーザーのIDやパスワードが漏れたことが原因ではありません。任天堂の発表によると、第三者が何らかの手段で別の場所から入手したIDとPWを利用して、NNIDへなりすましログインしたことが原因とのこと。

どんなに企業がセキュリティを強化して情報漏えい対策をしていても、ユーザーがIDやPWを様々なサービスで使いまわしをしている限り100%不正ログイン、なりすましを防ぐことは不可能であると言えます。

そのため、多くの企業は最後の砦として二段階認証を用意しています。ユーザーは二段階認証を設定することで、普段使っていないデバイスからサービスへのログインが検知された際に通知が届きます。通知に記載されているワンタイムパスワードを入力しない限り、IDとPWが正しくてもログインできない仕組みが二段階認証です。

任天堂はもちろん、Google、Amazon、Apple、Yahoo!、マイクロソフト、ドコモなどの大手からSNSやモバイルゲームまで様々な会員サービスで二段階認証/SMS認証が利用されています。

特にGoogleは頻繁にユーザーへGmailで二段階認証の設定を呼びかけており、その重要性を解説する専用のウェブページも用意しています。

▼2段階認証プロセス(Google公式ウェブサイト)
https://www.google.com/landing/2step/?hl=ja

 

二段階認証はメールよりもSMSが安心・安全

二段階認証にはSMS以外にメールを使うケースもありますが、メールアカウント自体が乗っ取られるリスクがある(メールのログインID・PWが他サービスと同じという人も多い)ので、完全にセキュアとは言い切れません。

しかし、SMSの場合は本人が所持している携帯電話に認証用のワンタイムパスワードが届くため、基本的には本人しか確認のしようがありません。そのため、本人確実性がメールよりも格段に上がります。また、携帯電話は契約に必ず本人確認の身分証明証を提出するので、誰が作ったか分からないフリーアドレスよりも本人確実性が高いと言えます。

 

SMS認証は複数アカウント登録の抑制にも効果的

SMSの二段階認証は不正ログインを防止するだけではなく、複数アカウントの登録の抑制もできます。なぜなら、携帯番号はメールアドレスよりも取得が簡単ではなく、一人でいくつもの番号を持っている人もあまりいないからです。

複数アカウントは転売目的で作成されることが多く、例えば有名アイドルのコンサートチケット、購入数に制限のある人気商品を一度に大量に仕入れるために使われたり、一つのオンラインプラットフォームで大量出品するために使われたりします。また、転売目的以外では、複数アカウントを作成して1度限りのクーポンを何回も入手して使う人もいます。

しかし、ユーザー登録時にSMS認証を要求することで一人の人物が複数のアカウントを登録しにくくなります。

 

企業がSMS認証を取り入れるためには

SMS認証API

SMS認証をサービスに実装させるためには、SMS配信会社と契約し配信用のAPIを取得する必要があります。その際に注意したいのが、SMS認証を利用させたいユーザーが利用している通信会社や住んでいる地域です。

SMS認証で送られてくるワンタイムパスワードは、ユーザーがサービスを利用するために必要です。SMSが届かないという事態は致命的。そのため、SMS認証導入の際はSMS配信会社が保有している配信ルートに着目しましょう。

SMS配信会社はそれぞれが独自に通信会社とコネクションを持ち、SMS配信ルートを保有しています。このルートによって到達率はもちろん、SMSを届けられる国も変わってきます。SMS認証を検討する場合は、SMSを届けたいユーザーが利用している通信会社(ドコモ、au、ソフトバンク、楽天モバイル等)や住んでいる地域を事前にSMS配信会社に伝え、適切なルートをアサインしてもらいましょう。

CM.comは世界14ヶ国16ヶ所に拠点を構え、世界中の1,000以上の通信会社とコネクションがあり、199ヶ国へSMS配信が可能です。CM.comは月間アクティブユーザー数2200万人の超巨大SNSアプリへSMS認証サービスを提供しており、大量一斉配信にも耐えられる安定した技術を持っています。

さらに、CM.comではSMS配信とは別にSMS認証専用のAPIを用意しています。SMS認証専用APIには、SMS配信・パスワード生成・認証がすべて揃っています。そのため、SMS配信APIで二段階認証を開発するよりも簡単にSMS認証を実装できます。

SMS認証の導入をご検討中の方はお気軽にお問い合わせください。

Aya Higuchi

Aya Higuchi

Digital Marketing Manager, CM.com