BLOG

ブログ
ブログ

SMS認証専用のAPIでアカウントのセキュリティを強化

セキュリティ
度々ニュースで取り上げられる不正ログイン被害は今に始まったことではありません。スマートフォン所有者やインターネットバンキング利用者の増加に伴い、被害に遭うケースがさらに増えています。一度漏洩したIDやPWは常に被害に遭う危険性がありますが、これだけニュースで騒がれても、多くのユーザーはIDやPWを使いまわしています。
トレンドマイクロ社が実施したアンケートによると、85%以上のユーザーがパスワードを使いまわしていると回答してました。ユーザーの当事者意識が低い中、二段階認証・二要素認証は不正ログイン被害を少しでも抑えるために役立つとされています。ここでは、意外と知られていない二段階認証と二要素認証の違いについてご紹介します。

二段階認証とは

二段階認証とは、パスワードなどを用いて2回本人確認を実施する認証方法です。代表的な2回目の認証方法としては、メールやSMSヘ送られる一度限りのパスワード認証があります。
Googleをはじめ多くのウェブサービスは、アカウントのセキュリティ強化のために「二段階認証」の設定をユーザーに呼び掛けています。またニュースでも不正ログインが起きると、被害に遭ったサービスに二段階認証があったかどうかについて言及することがあります。
そのため「二段階認証」という言葉は少しずつ一般でも使われるようになってきますが、二段階認証の自体はまだまだ普及していません。2018年にGoogleが発表したデータによると、Gmailユーザーの10%しか二段階認証を設定していないとのことでした。
参考:Gmailユーザーの9割が2段階認証を不使用(livedoorニュース)

二要素認証とは

二要素認証とは、認証の三要素と呼ばれる「知識」「所有」「生体」を組み合わせた認証方法を指します。一方、二段階認証の場合は同じ要素を2回繰り返した場合も含まれます。つまり、よく私たちが利用するSMSで2つ目のパスワードの入力を求められる認証方法は二段階認証でもあり、「知識」と「所有」を必要とする二要素認証でもあるのです。

認証の三要素

  • 知識:本人が知っている情報(パスワード、暗証番号)
  • 所有:本人の持ち物(スマートフォン、社員証、カード類、ハードウェアトークン)
  • 生体:本人の特徴(指紋、顔、静脈)

二要素認証が利用されるているのは、インターネットサービスだけではありません。例えば、ATMを利用する時は「知識(暗証番号)」と「所有(カード)」が必要です。そのため、ATMの利用も二要素認証が用いられていると言えます。

不正ログインの原因

1. パスワードリスト攻撃

すでに漏洩している情報が利用されるサイバー攻撃を「パスワードリスト攻撃」と呼びます。悪意のある第三者が闇マーケットで入手したIDとパスワードのリストを使い、様々なサイトで不正ログインを試みる行為です。パスワードリストによってはどのサービスのリストか分からないこともありますが、多くのユーザーが同じIDとパスワードを使いまわしている習慣につけ込んで行われる不正ログインです。
【パスワードリスト攻撃の流れ】

  1. 犯人が闇マーケットでパスワードリストを入手。
  2. リストにあるIDとパスワードを利用してサイトへのログインを試みる。
  3. 不正ログインに成功したIDの電話番号とメールアドレスを犯人のものに書き換える。
  4. 乗っ取ったIDのクレジットカードを不正に利用する

2. フィッシングサイト

メールやSMSで実在するサービスを名乗り、ユーザーに偽物のサイトにIDとパスワードを入力させ、そこで取得した情報を使って本物のサイトに不正ログインする方法もあります。偽物のサイトをフィッシングサイトと呼び、フィッシングサイトが記載されているメールやSMSをフィッシングメールと呼びます。SMSの場合は「SMS Phishing」を略してSmishing(スミッシング)と呼ぶこともあります。
サービス提供者が個人情報の漏洩に最新の注意を払って対策を実施していたとしても、ユーザーがIDとパスワードを使いまわしていたら、別の経路で流出している情報を使って不正ログインされる危険とは常に隣り合わせです。また、フィッシングサイトへのアクセスを止める確実な手段もありません。
サービス提供者が不正ログインから守る手段として、ログイン時の対策があります。それが二段階認証(二要素認証)です。その中でも導入しやすいのがSMS認証です。

SMS認証とは

SMS認証は、認証の三要素の中の「知識」と「所有」を組み合わせ方法です。メールはパソコン、スマートフォン、タブレットなどマルチデバイスで確認できますが、SMSは携帯電話の電話番号に届くメッセージのため、該当するSIMの入った携帯電話端末でしか確認できません。
セキュリティを高めるためにSMS認証をログインの度に要求することもできますが、それではユーザー側の使い勝手が悪くなります。ユーザー側の利便性も考慮するのであれば、ユーザーが普段使わないパソコンやモバイル端末からのログインを検知した時にSMS認証を要求する方法もあります。
ユーザーの利便性はもちろん、不正ログインにあった時の被害の大きさなどを鑑みて、SMS認証を要求する頻度を決めるといいでしょう。ユーザーにとってはワンステップ増えて面倒かもしれませんが、被害がニュースで取り上げられているので、企業の安全対策に以前よりも理解を示すと考えられます。

SMS認証の実装方法

SMS認証を実装するためには、SMS配信APIが必要です。そして、別途パスワード生成と認証工程を開発し、SMS配信APIと組み合わせて仕組みを構築させます。
CM.comでは、SMS配信・パスワード生成・認証がセットになったSMS認証専用のAPIを提供しています。開発工数と時間を削減してSMS認証を実装できます。日本国内だけではなく、20億ダウンロードを突破した海外の超大型SNSでもCM.comのAPIが利用されています。
SMS認証は不正ログインからユーザーを守る対策として、益々需要が高まってきています。CM.comのSMS配信APIやSMS認証APIは完全従量課金制なので、月額サービスと比較して導入負担も大きくありません。ぜひこの機会にSMS認証を実装し、サービスのセキュリティを強化しませんか?