1. HOME
  2. テックブログ
  3. 7pay不正利用問題から学ぶ「SMS認証」とは?

7pay不正利用問題から学ぶ「SMS認証」とは?

2019年7月1日のリリース後、数日のうちに不正アクセス被害が多発しサービス一時停止となった「7pay」。多くの方が連日のニュースなどを見てご存じでしょう。その中でも、特にTwitter上で大きな話題となったのが「SMS認証」というキーワード。記者会見中に実際に発言された言葉ではなかったのですが、様々な憶測やツイート内容のインパクトによって瞬く間に拡散され、多くの人の間に広がっていきました(拡散のきっかけとなったツイート発信元のアカウントは、2019年7月10日現在既に削除されています)。

「SMS認証」は、通信系やアプリ開発などを行う企業では比較的馴染みのある仕組みなのですが、世間一般の人々にとっても実は身近なところに存在しています。皆さんはこの「SMS認証」についてどのくらい知っていますか?

当社でも国内最大手のSMS事業者のひとつ、media4U社のSMSサービスのプロモーションをお手伝いし、安心&安全なSMSソリューションの普及に努めています。
今回は、7pay不正利用問題で注目された「SMS認証」とはどんな仕組みなのか、正しく知っていただくための解説を書いてみたいと思います。

SMS認証とは?

SMS認証は、SMS(ショートメッセージサービス)を利用してユーザを認証する方法を指します。
SMSは、携帯電話番号を宛て先として短いメッセージを送信できるサービスです。今日の携帯電話やスマートフォンはほとんどがSMSに対応しているため、携帯電話を契約していれば、Eメールやラインなどのアプリを設定していなくてもSMSでメッセージを送受信できます。SMS認証では、このSMSを利用してログインが必要なタイミングでワンタイムパスワードを送信し、それをフォームなどに入力させることで認証(ログインしている人が正規ユーザである事の確認)を行います。

SMS認証は「二段階認証」のためによく利用されています。
二段階認証とは、通常のID&ログインなどに加えて、このSMS認証のような別のタイプの認証を行うことでダブルチェックでユーザー認証を行う仕組みです。もちろん、通常のログイン方式に加えて、SMS認証の仕組みを使うとユーザーにとっては入力や確認の手間が増えることになります。しかしサービス利用者本人以外による不正ログインが困難になるため、多くのサービスでこの認証方法が活用されているのです。

今回、7payではこの様な二段階認証を採用していなかったことが、不正利用の被害を未然に防げなかった要因の一つと言われています。

なぜSMSを認証に利用するのか?

近年は世の中にあらゆるWebサービスがあふれていますが、サービスの中には会員登録が必要なものが少なくありません。しかし、異なるサービスで似たようなIDやパスワードを使いまわしている方も多いのではないでしょうか。
もし、サービスの一つにセキュリティへの取り組みが万全でないところがあって、そこからIDやパスワードが流出してしまった場合、同じ、あるいは似た認証情報を使っている他のサービスにも不正ログインされる恐れがあります。この様に、IDやパスワードは常に流出の危険性にさらされているのです。

しかし、サービスが二段階目の認証として「SMS認証」を採用していれば、例えID&パスワードが流出していたとしても、不正ログインを防ぐことができます。このユーザの携帯電話番号が流出していたとしても結果は変わりません。SMSに届くワンタイムパスワードを知ることができるのは、事前に登録済みの携帯電話番号で電話を利用しているユーザに限られるからです。
情報だけでなく、この携帯電話番号を受けられる物理的な電話機本体(正確にはSIMカード)を持っていなければならないというところがポイントです。

EメールではなくSMSを使う理由

SMSは自由でオープンなインターネットを使って情報を送受信するのではなく、キャリアが独自に保持して管理されている交換回線を使って送受信が行われます。そのため、無料で使えるインターネットと違って送信には料金がかかり、また同時に送ることができる文字数には制限があります。
この様なことから、無料で実質何文字でも送ることができるというEメールと比べると自由度や利便性の点では劣ります。一方で、電話番号というパーソナルなアドレスに向けて確実に、安全に情報を届けるという点で優れています。

また、電話番号を取得するにはキャリアによる身元確認が必要であるため、偽造も難しく本人確認には最適な方法の一つです。Eメールアドレスはフリーメールなどでいくつでも取得が可能ですし、同じメールアドレスを複数の端末で利用することも一般に行われているため、認証という目的においてはSMS送信の方がより適切な手段だと考えられます。

さらにサービスを運用する側の視点に立ってみると、お客様に確実に届いて手軽に利用してもらえるということが重要です。二段階認証にSMS認証を採用している企業は、セキュリティとユーザ利便性の両立を計るために、無料のEメールではなく送信に料金がかかるものの、安全で確実なSMSを選んだということです。

まとめ

今回解説した内容を簡単にまとめてみました。

  • 二段階認証は、高いセキュリティが求められるサービスには必要
  • SMS認証は二段階認証の方法として適切。なぜなら…
    • SMSが届くハードウェア(携帯端末)での確認が必要になるため。
    • 携帯電話番号は偽造が困難なため。

7payやPayPayなど、支払い手段の主導権を巡る戦いはまだまだ続きそうですが、金銭を扱うアプリにおいては、不正利用の防止は最も重要な視点です。利用者も開発者も正しい知識を持って活用したいものですね。

さて、今回取り上げたSMSですが、「携帯電話番号宛てに送信できる」ほかにも様々な特徴を持っています。その特徴を生かして、二段階認証以外のあらゆるシーンで幅広く利用されていることをご存じですか?
現在、日本においては事業者向けの「SMS送信サービス」市場が急速に拡大しています。決して新しい技術ではありませんが、その利便性が見直され、マーケティング手法やリマインド、新規顧客獲得といった目的でSMSソリューションを導入する企業が増えています。

SMS送信サービスに関する詳しいご説明や活用事例は、ファブリカコミュニケーションズが運営するサイト「SMSnavi」でもご紹介しています。今回の記事を通してSMSに興味を持った方は、ぜひ一読してみてくださいね。


SMS送信サービスの基本をもっと詳しく知りたい方におすすめ
現在市場が拡大中!SMS送信サービスの仕組みや特長、メリットとは?

SMSの特性を活かした活用事例を知りたい方におすすめ
業界別の活用事例で見る、上手なSMS送信サービスの選び方

SMS送信サービス選びに迷っている方におすすめ
「キャリア直接接続」以外に何を比較したらいい? SMS送信サービス選びで確認するべき3つのポイント

この記事を書いた人

こじま
管理本部 人事部 人事課
こじま

おすすめの記事