フォーブスの記事によると、GoogleはGmailのログイン時に利用されていたSMS認証を廃止する方針を発表しました。
この変更はセキュリティの強化を目的としたものですが、なぜ今このタイミングで行われるのでしょうか?
本記事では、SMS認証が抱えるリスクやGoogleの方針、そして今後の代替認証手段について詳しく解説します。
1. GmailのSMS認証が廃止される理由
SMS認証の脆弱性(フィッシング詐欺とトラフィックポンピング)
Gmailの広報担当者リッチェンドルファー氏と同僚のサムラ氏によれば、GmailのSMS認証廃止の背景には二つのセキュリティリスクがあるといいます。
一つ目はフィッシング詐欺のリスクです。
SMS認証コードは、偽のログインページを使ったフィッシング攻撃によって盗まれるリスクがあります。
ユーザーが正規のGoogleサイトだと思い込み認証コードを入力すると、その情報が攻撃者に渡り、不正アクセスの危険性が高まります。その結果、アカウントが乗っ取られたり、個人情報が流出して被害が発生するケースも少なくありません。
二つ目は、トラフィックポンピングの被害拡大です。
これは詐欺業者がGoogleのSMS認証を悪用し、自分たちの管理する番号に大量の認証コードを送信させることで、手数料を不正に得る手口です。
本来SMS認証の実行時にはGoogleから通信キャリアに支払いが発生します。しかし、一部の通信キャリアは詐欺業者と結託し、Googleから受け取る手数料の一部を詐欺業者に還元することで、不正な利益を生み出しています。
こうした構造により、Googleは不要なコスト負担を強いられ、結果的にSMS認証の維持が企業にとって大きな負担となっています。
Googleが進めるセキュリティ強化の方向性
Googleは、SMS認証の廃止を単なる仕様変更ではなく、全体的なセキュリティ強化の一環と位置付けています。
SMS認証はフィッシング攻撃の標的になりやすく、さらにトラフィックポンピングによる不正なコスト負担を招くリスクもあります。そのため、Googleはより安全な認証方法への移行を進めています。
すでに生体認証や二要素認証の強化が進められており、さらなる対策として利便性と安全性を両立した新たな認証手段の導入が検討されています。
2. 代替案としての認証手段
二要素認証アプリ
二要素認証アプリとは、パスワードに加えてもう一つの認証要素を必要とすることで、セキュリティを強化する仕組みです。その代表例が「Google Authenticator」です。
このアプリは、ログイン時にワンタイムパスワード(OTP)を生成し、そのコードを入力することで認証を行います。
SMS認証と異なり、フィッシング攻撃でコードを盗まれるリスクが低く、通信キャリアを経由しないためトラフィックポンピングの影響も受けません。
また、インターネット接続が不要なため、より安全な認証手段として多くのサービスで採用されています。
プッシュ通知型認証
Googleプロンプトは、スマートフォンに直接ログイン通知を送信し、ワンタップで認証を完了できる仕組みです。
この方式の最大の特徴は、ユーザーが手入力でコードを入力する必要がない点です。
フィッシング攻撃では、偽のサイトでユーザーに認証コードを入力させる手口が一般的ですが、Googleプロンプトではそのような手法が通用しません。
ユーザー自身がログインリクエストを確認して承認するため、不正アクセスのリスクを大幅に減らすことができます。
パスキー
近年、Googleはパスワードレス認証の普及を進めており、その中心的な技術が「パスキー」です。
パスキーは、指紋認証や顔認証、PINコードを利用して、従来のパスワード入力を不要にする認証方式です。
端末に直接認証情報を保存するため、外部からの攻撃によってパスワードが流出するリスクを防ぐことができます。さらに、ユーザーは複雑なパスワードを覚える必要がなく、セキュリティと利便性を両立できる点が大きなメリットです。
QRコード認証
リッチェンドルファー氏は、SMS認証の代替としてQRコードを活用する可能性について言及しています。
この方式では、ログイン時に表示されたQRコードをスマートフォンでスキャンし、認証を完了させます。
QRコードを利用することで、認証コードを直接入力する必要がなくなり、フィッシング攻撃のリスクを軽減できます。
また、スマートフォンを持っていれば特別なアプリをインストールする必要がないため、幅広いユーザーにとって利用しやすい認証手段となる可能性があります。
ユーザーの利便性という課題
これらの代替認証手段は、安全性の向上に大きく貢献する一方で、ユーザー体験の面では課題も残されています。
例えば、二要素認証アプリは設定に手間がかかり、初心者には難しく感じられることがあります。また、設定したスマートフォンを紛失すると復旧が困難になる点も課題の一つです。
Googleプロンプトはスマートフォンを持っていることが前提となるため、端末を持たないユーザーには利用できません。
パスキーに関しても、端末ごとに登録が必要なため、複数のデバイスでの利用には手間がかかる場合があります。
QRコード認証も同様にスマートフォンの所持を前提としており、さらに認証の流れに慣れていないと、操作に戸惑う可能性があります。
これらの認証方法はそれぞれ高いセキュリティを備えていますが、利用者の状況によっては導入が難しいケースがあるのも事実です。こうした課題に対応するため、利便性と安全性を両立する新たな認証手段が求められています。
3. Infront SecurityがSMS認証に続く次世代標準となる理由
スムーズな認証による高い利便性
従来の認証手段は、それぞれ高いセキュリティを備えているものの、設定の手間やスマートフォンの所有が前提となる点で利便性に課題がありました。
Infront Securityはこうした弱点を克服し、高いセキュリティと利便性を両立する仕組みを提供します。誰もが持つ電話番号を活用することで、新たな教育や複雑な設定が不要となり、導入のハードルが低い点が大きな利点です。
ユーザーは特別なアプリをインストールする必要がなく、端末上での簡単な操作だけで認証を完了できます。
初回認証ではワンタップで電話をかけるだけのシンプルな方式を採用しており、認証完了後は自動的に接続が切れるため、スムーズに利用できます。
2回目以降のログインでは電話をかける必要すらなく、登録したID(電話番号など)の入力のみでログインできるため、パスワードを覚える必要がありません。
また、登録する電話番号はスマートフォンに限定されず、ガラケーや固定電話など幅広いデバイスで利用できるため、環境に左右されることなく柔軟に認証を行うことが可能です。
電話番号+端末で最大限のセキュリティ
Infront Securityは、登録された電話番号と利用者が発信した電話番号を照合し、端末認証を行う独自の特許技術を採用しています。
電話番号と端末の組み合わせによる認証は、たとえ電話番号が流出しても対応する端末がなければ認証は成立せず、不正アクセスを防ぐ上で極めて有効です。
また端末を紛失した場合でも、通信キャリアを通じたSIMカードの再発行や利用停止により、不正利用のリスクを抑えることが可能です。
さらにInfront Securityは通信キャリアと連携し、偽造や盗聴が困難な専用の電話網を活用することで、トラフィックポンピングなどの不正行為を防ぐ仕組みを備えています。
SMS認証が広く普及した背景には、「電話番号」という誰もが持つインフラを活用できる点があり、Infront Securityはこの仕組みをさらに強化することで、利便性と高いセキュリティの両立を実現します。
今後、Infront Securityは認証システムの主流となる可能性が高く、企業やサービス提供者にとって導入を検討する有力な選択肢の一つとなります。