はじめに
SMS認証の実装に伴い調査を行った所、予想以上な被害が出ていることを知ったので備忘録として残します。
(ただ単に、自分が認知していなかっただけなのです。。。)
SMS認証は本当に安全? 今知っておくべきリスクと対策
昨今、オンラインサービスの認証手段として利用されることの多いSMS認証。一見便利で簡単に見えますが、その背後に潜むリスクが存在しています。
本記事では、SMS認証に潜む意外な危険性と実際の被害事例、そしてその対策について解説します。
SMS認証の3大リスク
2016年7月に米NIST(国立標準技術研究所)では、安全ではないという見解を示しています。
SMS認証が危険視される理由として、以下の3つが挙げられます
- ロック画面へのコード表示
- ロックされたスマホでも認証コードが通知表示されるため、第三者が盗み見できる可能性があります。
- SIMスワップ詐欺
- 被害者のSIMカード情報を乗っ取る手口で、偽造した本人確認情報を用いて携帯キャリアでSIMカードを再発行します。
- SMSインターセプト
- スパイウェアやネットワーク上での傍受によって、SMS内容が盗まれるリスクがあります。
被害が止まらないSIMスワップ詐欺
2018年~2021年(米国)
アメリカではスマホ普及とともにSIMスワップ詐欺が猛威を振るい、総被害額は膨大なもの(約100億円の被害)となりました。1
2020年~(日本)
2020年ごろから急増し、2022年には被害総額が約4億円に達しました。
事態を重く見た警察庁と総務省は携帯電話事業者に対して本人確認の強化を要請しました2
↑図:警察庁「キャッシュレス社会の 安全・安心の確保に向けた検討会 報告書」より抜粋3
徐々に被害件数が減少傾向にあるものの、2024年5月に日本の議員も被害に遭遇。
議員の携帯電話が不正に機種変更され、高額な商品購入に悪用されたケースがSNSで話題になりました。4
SIMスワップ詐欺の巧妙な手口とは?
-
ターゲット情報の収集
不審なSMSやメールでウイルスを送り込み、個人情報を抜き取ります。
以下のようなメッセージが送られウィルス感染させられる
↑トビラシステムズ「詐欺SMSモニター」より抜粋5 -
本人確認書類の偽造
偽造された運転免許証やマイナンバーカードを使います。 -
SIMカード再発行
「スマホを失くした」と嘘をついて、携帯ショップでSIMを再発行。 -
アプリの不正利用
SMS認証を突破し、送金や高額商品購入などの犯罪行為を行います。
図解: SIMスワップ詐欺の全貌
日本と世界で進む対策
国内の動き
デジタル庁は、より安全な認証手段としてマイナンバーカードを活用するアプリをリリースしました
海外の動き
アメリカでは、「番号ポータビリティ(LNP)」制度によって、SIMカードの移行が簡単に行えることから、対策が難しいとされており、SMS認証の代替として以下が提案されています。
- 認証アプリ:Google AuthenticatorなどのTOTPアプリを利用。
- 生体認証:顔認識や指紋認証などのセキュアな手段。
調査結果
SMS認証には確かにリスクがありますが、携帯キャリアが厳格な本人確認を徹底することで被害を防げる可能性があります。また、海外展開を視野に入れる場合、認証アプリや生体認証の導入がユーザー離れを防ぐ鍵となります。
読者へのアクションプラン
不審なSMSのリンクをクリックしないでください!