目次
SMS(ショートメッセージ)認証って安全なの?
最近いろいろなWebサイトでの認証において、セキュリティ対策としてSMSを用いての二段階認証が利用されています。私もいくつかのWebサイトで利用していますが、ここのところ不信なSMSを受け取ることもしばしば。手放しでセキュアであると考えていて良いのか利用する上での注意すべき点は何か考えてみました。
怪しいSMS(ショートメッセージ)は再要求しよう
- そもそも自分から要求していないのに送られてきた場合は簡単に偽物だと判断できます。
- URLが書かれているのも簡単におかしいと気づけます。
- ただ自分が要求したタイミングでそれらしいコードが届いたにもかかわらずSMSの発信者番号に違和感を感じる事もあります。
- 不信なSMSを削除せず放置しておいたら、自分が要求したサイトからのSMS発信者番号が放置しておいたSMSとなぜか同じだったこともあります。
- また、異なるサービスからのSMSなのに発信者番号が同じだったことも。
これら場合は気持ち悪いので再要求するようにしています。
そもそもSMS(ショートメッセージ)は安全ではない?
SMSを利用した認証方法は、サーバー側でアカウント情報と紐づけて管理している電話番号さえ書き換えられることがなければ、安全な認証方法と言われています。
しかし海外では電話番号の管理事業者がなにも確認もせずに、偽の電話販売業者に実際はまだ使われている電話番号情報を渡してしまい、SMSを通しての情報を盗まれる事件が起きたことがあるそうです。
他にもSMSインターセプトと呼ばれるSMS自体が盗み見されて情報が漏洩したこともあるそうです。SMSインターセプトはいくつか方法があるそうですが、一番起こり得そうなのは不正アプリに対してSMSへのアクセス許可をしてしまっているケースでしょうか。そうならないためにもアプリに許可している機能をちゃんと確認、管理する必要があると言えます。なにより怪しいアプリは使わないことが一番です。
それでも使われるSMS(ショートメッセージ)認証
日本の電話番号管理が信頼できるものであるとして、不正なアプリを使ってないならばSMS二段階認証は比較的安全な方法と言えそうな気がします。
更に特別なアプリやキーデバイスを準備しなくても、割と多くの人が利用できる点もメリットだと思います。なので他にもっと手軽でセキュアな認証方法が考え出されないうちは、まだまだ利用されてゆくのかもしれません。