SMS認証は本人確認手段のひとつです。個人情報を所持するWEBサービス、金銭的なやりとりを行う金融機関や通販サイト、SNS会員登録時の本人確認などに利用されています。メールアドレスやID、パスワードを使用する従来の認証方式では、その情報が漏洩してしまった場合に、企業側だけでなくユーザー側にも損害が発生する恐れがあります。
電子決済の普及など、インターネット上を利用した金銭のやりとりが増えた今日、SMSを利用した2段階認証が多くの場面で活用されています。この記事では、SMS認証の仕組みや導入方法、そのほかの認証方法についても解説します。
SMS認証の仕組み
SMS認証とは
SMS認証とはスマートフォン・携帯電話の電話番号をつかって本人確認を行う認証手段のひとつです。多くの場合、携帯電話番号宛に認証コード(ワンタイムパスワード)をSMSで送信し、そのパスワードをWEBサイト上で入力します。これにより、登録する携帯電話番号の携帯電話を所有する本人であることを証明します。
もしメールアドレスやパスワードのログイン情報が悪意のある人の手に渡ってしまうと、企業側だけでなくユーザー側にも損害が発生する恐れがあります。そのため、SMS認証で所有者のみ使用できる携帯電話番号に認証コードを送ることで本人認証を行い、金融取引や電子決済サービスを安全に利用する認証方法として活用されています。
もし他のユーザーが適当な携帯電話番号を登録したとしても、認証コードは登録した電話番号にしか届かないため、本人が気づかないところで、不正に利用されることはありません。
SMS認証の流れ
SMS認証は主にユーザーが特定のサイトやアプリを使う際に必要となります。
サイトやアプリの画面で携帯電話番号を登録します。そうすると、登録した番号に対して認証コードがSMSで送られてきます。ユーザーが認証コードをサイトやアプリの画面で入力すると、認証が完了します。
認証が完了するとユーザーはサイトやアプリを利用できるようになります。なお、認証コードには有効期限が設けられている場合もあります。有効期限を過ぎた認証コードでは認証を完了することができませんので、そういった場合はもう一度認証コードを送るところから試してみましょう。
SMS認証が使われるケース
SNS(ソーシャル・ネットワーキング・サービス)
最近では、SNSへの登録やログインでSMS認証が用いられることが増えてきました。LINEやTwitter、FacebookでSMS認証を求められたことはないでしょうか。自分以外のユーザーに自身のSNSのアカウントを乗っ取られ、詐欺や虚偽情報の発信されてしまうことを防ぐために導入が進んでいます。
多くの場合、SNSでSMS認証を求められるのは、アカウント作成時か、デバイスでの初回ログイン時です。アカウント作成時のSMS認証には、1人のユーザーによる複数アカウントの作成を防ぐ目的があります。通常、携帯電話番号は携帯電話1台につき1つとなるため、1人のユーザーがアカウントを複数作成することができなくなります。
デバイスでの初回ログイン時は、自分以外のユーザーの不正ログインを防ぐ目的があります今までログインをしたことのないデバイス(スマートフォンやPC) でログインする際、ログインを試みるユーザーが本当に本人であるかを確認するためにSMS認証が役立ちます。ユーザーにとっては手間となってしまいますが、ユーザーの知らないところで不正にログインされることを防ぎます。
電子決済サービス
電子決済サービスにもSMS認証はよく使用されます。経済産業省のデータによると、日本国内におけるキャッシュレス決済比率は、2010年の13.2%から2020年では29.7%と普及している傾向にあります。この普及するキャッシュレス決済の課題となるのが「不正利用」です。
実際にあった問題の代表として「セブンペイの不正利用問題」を簡単に説明します。
セブンペイは株式会社セブン&アイ・ホールディングス傘下の株式会社セブン・ペイが運営するバーコード決済サービスです。2019年7月1日に開始したサービスでしたが、翌日7月2日には「身に覚えのない取引があった」と問合せがあり、翌々日7月3日には不正利用報告が相次ぐ事態となりました。この結果、808人のアカウントが不正利用され、被害総額は約3,860万円となりました。
この問題点として挙げられたのが「登録メールアドレスの問題」と「本人確認の問題」です。
まず1点目の「登録メールアドレスの問題」について。会員登録時にIDとしてメールアドレスを登録するようになっていましたが、その有効性や本人確認を行うことなく、他人のメールアドレスでも登録できてしまったことが問題となりました。
次に2点目の「本人確認の問題」について。会員登録時に本人確認となる認証方法が用意されていませんでした。本人確認がされなかったため、どの端末でもIDとパスワードさえあれば、ユーザーに気づかれることなく簡単にログインができたのです。
電子決済サービスの不正利用は金銭的な被害だけでなく、企業の信頼性を損なうことに繋がります。ユーザーに安心して利用してもらうためにもSMS認証の導入を検討しましょう。
*参考:経済産業省 | キャッシュレスの現状及び意義
*参考:セブン&アイ・ホールディングス | 「7PAY(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について
オンラインチケット販売サイト
人気のコンサートや舞台、スポーツイベントなどのチケットを、業者や個人が買い占め、オークションやチケット転売サイトなどで定価を大幅に上回る価格で販売する「高額転売」が横行し、チケットを本当に求めている人にとって入手しづらい状況が続いてきました。
その対策となるのがSMS認証です。1人のユーザーが複数の会員登録をできないようにし、チケットの不正購入や高額転売を防ぎます。
実際にチケット販売サイト「e+」では2017年6月29日に会員登録にSMS認証を導入。抽選受付の申し込みや、先着販売の申込時にも適用しています。
ここに紹介した他にも、証券会社や銀行、ECサイトなどでも利用されています。
*参考:IT media NEWS | チケット販売「e+」、会員登録にSMS認証を導入 不正転売対策で
二段階認証、二要素認証、他の認証方法について
SMS認証は二段階認証のうちの1つですが、そもそも「二段階認証」とは何でしょうか。二段階認証と似たような言葉で「二要素認証」もあります。ここでは二段階認証、二要素認証について解説し、さまざまな認証方法についてご紹介します。
二段階認証と二要素認証
二段階認証とは「2度」の認証を行うことを指します。例えば会員サイトのログイン時にIDとパスワードでの認証とSMS認証を行うことは、二段階認証となります。
二要素認証とは、2つの要素を用いてユーザーを認証する仕組みを指します。ここまで聞くと「二段階認証と二要素認証は同じ」と思いますが、正確には違います。
二段階認証はあくまで「2度の認証」を行うことを指しますので、例えばIDとパスワードの認証を2回行っても「二段階認証」となります。一方で二要素認証は「2つの違う要素」を用いるので、IDとパスワードの認証を2回行うことは二要素認証にはなりません。
また2つ以上の要素を利用する認証を「多要素認証」ともいいます。
| 用語 | 詳細 |
|---|---|
| 二段階認証 | 2度の認証を行うこと |
| 二要素認証 | 2つの要素で認証を行うこと |
| 多要素認証 | 2つ以上の要素で認証を行うこと |
さまざまな認証方法
二段階認証や二要素認証については理解できたかと思いますが、その認証方法にはどのようなものがあるのでしょうか。認証方法は大きく「知識認証」「所有物認証」「生体認証」の3つに分類できます。
| 認証の種類 | セキュリティレベル | 詳細 | 例 |
|---|---|---|---|
| 知識認証 | 低 | 知識ベースなので、その知識を知っていれば誰でもなりすましが可能である。 | ・ID/パスワード ・秘密の質問 |
| 所有物認証 | 中 | 所有物を盗んだ場合になりすましが可能である。所有物を持った人だけが認証可能。 | ・電子証明書 ・ワンタイムパスワード ・ICカード |
| 生体認証 | 高 | 身体的な特徴を元にするので、盗まれることや貸し借りをすることができない。 | ・指紋認証 ・顔認証 ・声紋認証 |
知識認証
「知識認証」は、IDとパスワードの組み合わせのように、その情報を知っていればログインできる認証で、セキュリティレベルは低くなっています。IDとパスワード以外にも「秘密の質問」として、例えば「通っていた小学校の名前は」「母の旧姓は」などの情報を入力させるケースもあります。
IDとパスワードの組み合わせによる認証は、知識認証の代表例で、ウェブサービスへのログインなど広く一般的に使われています。IDとパスワードによる認証ではパスワードポリシーを定めることが重要となります。パスワードポリシーとは、パスワードに使用する文字の種類や長さの規定のことです。
所有物認証
「所有物認証」とは、本人のみが所有する物を用いる認証です。物で認証するため、本人以外が利用するには物自体を盗まなければいけなく、知識認証よりも不正利用のリスクは少ないです。SMS認証は「携帯電話」の認証なので所有物認証に分類されます。
| 所有物認証 | 説明 | 主な実用例 |
|---|---|---|
| ICカード | 事前に渡された IC チップ搭載のカードで利用者を認証する方式 | 社員証 |
| ワンタイムパスワード | 一度だけ使えるパスワードで認証する方式 | WEBサイト会員登録 |
| SMS認証 | ワンタイムパスワードを本人の携帯電話番号のSMS(ショートメッセージサービス)で通知する方式 | WEBサイト会員登録 |
| マトリクス認証 | 乱数表をあらかじめ渡し、要求される座標に対応する文字をパスワードとして認証する方式 | ネットバンキング |
生体認証
「生体認証」とは、顔や指紋などの生体情報を用いる認証です。事前に本人を識別するための生体情報を登録し、認証時に読み取った情報と照合をすることで本人を識別します。センサーで指紋を読み取る「指紋認証」は、生体認証の代表例です。生体情報は盗まれたり貸し借りすることがないので、所有物認証よりもセキュリティーが高いです。
| 種類 | 判断方法 | 主な実用例 |
|---|---|---|
| 指紋認証 | 指紋の模様から判断する | スマホやPCのロック解除 |
| 静脈認証 | 血管の方向や分岐点から判断する | 銀行のATM |
| 虹彩認証 | 虹彩のパターンから判断する | 出入国管理 |
| 顔認証 | 顔の特徴点から判断する | 空港の搭乗手続き |
| 音声認証 | 周波数で判断する | スマートスピーカー |
| 耳介認証 | 耳の形で判断する | 犯罪捜査、医療現場 |
| DNA認証 | 遺伝子から判断する | 犯罪捜査 |
| 行動認証 | 筆跡などの習性から判断する | クレジットカード利用時のサイン |
SMS認証の導入方法
ここまでSMS認証の仕組みや活用事例、その他の認証について解説しましたが、実際にSMS認証を導入しようと思ったら何をすれば良いのでしょうか。ここではSMS認証の導入方法について順を追って説明します。
【1】API連携できるSMS送信サービスを選ぶ
まずは、自社システムとAPI連携できるSMS送信サービスを選びます。サービスを選ぶ基準について3つ説明します。
SMS認証に特化したAPIを選ぶ
SMS認証での利用の場合、SMS認証に特化したAPIを提供しているサービスを選ぶと良いでしょう。SMS認証を自社システムにイチから構築しようと思うと、データベースの作成・管理やワンタイムパスワードの生成、照合など必要な開発が多くあります。SMS認証用に用意されたAPIであれば、SMS認証に関する開発の手間を削減できる場合があります。
導入実績を参考にする
SMS認証で利用する場合、導入実績を参考にしましょう。例えば大手企業が導入している場合、ある程度のセキュリティ性が担保されます。また業種のバリエーションが豊富なほど、どんなシステムでも組み込める柔軟性の高いAPIであることがわかります。
IVR認証にも対応したものがおすすめ
SMS認証APIの中にはIVR認証に対応したAPIもあります。IVR認証とは、電話で自動応答の音声システムを活用して認証を行う方法です。電話番号だけで認証作業を進めることができるので、SMSが届かない場合や、固定電話で認証を行いたい場合に役立ちます。
【2】APIとシステムの連携
利用するサービスを選んだ後は、SMS認証を導入する自社システムとの連携を行います。SMS認証サービスへは自社システムからAPIを通じて特定の電話番号へのSMS送信を指示することになります。そのため、携帯電話番号を入力してもらい、認証用の一時的な確認コードを作成したうえで、APIを通じて電話番号と確認コードを渡して送信してもらうといった流れとなり、その一連の機能の開発・実装が必要になります。ただし開発といっても、SMS認証に特化したAPIの場合は詳細な仕様書やサンプルコードが提供されており、それを参考に開発できるため、開発の負担はさほど大きくありません。 導入実績の多いSMS送信サービスの提供会社はSMS認証によるシステム連携の経験が豊富にあるので、充実したサポートを受けられる可能性があります。技術面で不安点がある場合は相談してみましょう。
【3】テストと運用開始
ユーザー側の操作に応じてSMSが送信できていること、確認コードに有効時間が設定されていること、遅延なく送信できること、端的にわかりやすいSMSの文面になっていることをテストで確認しましょう。問題なければ運用を開始できます。
SMS認証代行について
SMS認証をめぐる問題として、有料でSMS認証を請け負う代行業者の存在があります。
何らかの理由でSMS認証をすり抜けたい利用者を、SNSなどネット上で募り、自分の電話番号を伝えて利用登録の手続きをさせます。確認用の暗証番号は業者のスマホに届くので、これを依頼者に伝え手続きを進めさせれば、依頼者は匿名でアカウントを利用できます。これに対して業者は1件1,000円前後の対価を受け取ります。こうした依頼は特殊詐欺など悪用目的のケースが多いため、警察は取締りを強化しています。
これに対して企業側はどのような対策ができるのでしょうか。携帯の「SIMカード」には、通話もデータ通信もできる「音声通話SIM」と、通話はできないがネットやSMSが利用可能な「データSIM」の2種類があります。SMS認証代行業者は後者のSIMカードを利用していることがあります。
SMS認証だけでは対策は難しいですが、株式会社メディア4uの提供する声紋認証システム「ボイスセキュリティ」を利用すれば、より高度なセキュリティ対策を行うことが可能です。SMS認証では不安な場合は、より高度なセキュリティである声紋認証の導入を検討してみてはいかがでしょうか。