2025年、認証の世界で静かなドミノが倒れ始めました。Gmailが二要素認証からSMSを外すと報じられ、行政の共通認証基盤「GビズID」もSMSによるワンタイムパスワード認証を廃止しました。米国の標準化機関NIST(米国国立標準技術研究所)は、それ以前からSMS認証を推奨しない立場を示してきました。
「とりあえずSMSで二要素認証」という、ここ数年の常識が崩れつつあります。ただ、本当に問われているのは「SMSをやめるかどうか」ではありません。「やめた後に、何を置くか」です。
本稿では、EC・金融の決済やセキュリティ運用に関わる方に向けて、SMS廃止の流れを事実で整理したうえで、廃止の“次”をどう設計するかを考えます。
SMS廃止は「一社の判断」ではなく「業界の総意」になった
まず押さえておきたいのは、これが一社の気まぐれではない、という点です。
Googleは、Gmailの二要素認証で使ってきた「SMSで6桁のコードを送る」方式を廃止し、スマートフォンのカメラでスキャンする「QRコード方式」へ切り替える方針を明らかにしました(2025年報道、今後数カ月以内に段階適用)。理由としてGoogleは、SMSコードが流出するリスク、通信事業者が侵入経路になりうる点、そしてSMS認証を悪用した不正請求の手口などを挙げています。
行政も同じ方向に動いています。事業者向けの共通認証基盤「GビズID」は、SMSを用いたワンタイムパスワード認証を2025年12月17日に廃止し、アプリ認証またはメールによる認証へ移行しました。さらに、認証の世界標準を主導するNISTは、以前からSMSを用いたワンタイムパスワードを「推奨しない」と明言しています。
民間の先行例も少なくありません。EvernoteやSignalといったサービスは、すでにセキュリティ強化のためSMS認証を取りやめています。
つまり、SMS離れは「個社の都合」ではなく「標準そのものが動いた」結果として起きています。EC・金融の現場で「SMSで二要素にしているから大丈夫」という前提は、もう通用しなくなりつつあるのです。
なぜSMSは突破されるのか——「届く」前提が崩れている
ではなぜ、これほど一斉にSMSが見限られているのでしょうか。理由は、SMSという経路そのものに構造的な弱点があるからです。
最大の問題が「リアルタイムフィッシング(中間者攻撃)」です。攻撃者は本物そっくりの偽サイトに利用者を誘導し、入力されたIDやパスワード、そしてSMSの認証コードを“その場で”正規サイトに転送します。利用者がコードを入力した瞬間、攻撃者も同じコードでログインを完了させる――SMSが正しく届いていても、突破されてしまうのです。
被害は数字にも表れています。警察庁によれば、令和5年(2023年)のフィッシング被害の報告件数は119万6,390件と過去最多、インターネットバンキングに係る不正送金被害額も過去最多の87.3億円にのぼりました(出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」)。
経路を狙う手口も健在です。攻撃者が携帯会社になりすましてSIMを乗っ取る「SIMスワップ」、端末のメッセージ転送設定を悪用してコードを抜き取る手口――いずれも「電話番号宛てにコードを送る」という仕組みの隙を突いています。
SMSは、たとえるなら“封をしない手紙”です。経路の途中で覗き見されれば、中身の数字はそのまま使われてしまう。だからこそ、大手も標準化機関も「届く前提」を捨て始めているのです。
廃止の「次」をどう設計するか——QR・パスキー・電話発信認証の使い分け
ここからが本題です。SMSをやめると決めても、その椅子に何を座らせるかで、UX(使い勝手)もセキュリティもコストも大きく変わります。代表的な選択肢を整理してみます。
| 項目 | 電話発信認証(INFRONT) | SMS認証 | パスキー | eKYC |
|---|---|---|---|---|
| UI/UX | 電話を1タップするだけ | SMSを開いてコード入力 | 初期登録後は簡単 | 手続きに時間 |
| フィッシング耐性 | 高い | マルウェア突破例あり | 高い | 高い |
| 高齢者対応 | 電話1タップのみで容易 | リテラシー不足で困難な場合あり | 初期登録が難しい | 操作が複雑 |
| 導入コスト | ユーザー発信で通信費ゼロ | 企業にSMS送信コスト | システム開発コスト高め | 高額 |
| デバイス | 限定なし(固定電話も可) | スマホ前提 | 対応デバイスが限定 | スマホ前提 |
ここで、ひとつ視点を変えてみてください。Googleが捨てたのは「電話番号」そのものではなく、「SMSという経路」です。実は、同じ電話番号でも“受け取る(着信する)SMS”は弱く、“自分からかける(発信する)電話”は強い――方向が逆になるだけで、フィッシングは原理的に成立しなくなります。偽サイトは、あなたの電話回線を持っていないからです。
Infront Security の電話発信認証は、この「発信の強さ」を使った方式です。利用者はログイン画面で認証ボタンをワンタップし、スマホから指定番号へ1コール自動発信します(通話料無料・約1秒)。サーバー側で発信者番号と端末情報を照合し、本人確認が完了します。同じ端末からの再アクセスなら、端末認証だけで完了し、ワンタップすら不要です。
セキュリティの根拠は、インターネット網とは別の「電話網」を経路に使う点にあります。電話網は通信キャリアが管理しており、偽サイトはこの回線を持てません。そのため、リアルタイムフィッシングに対して耐性があり、不正利用率はほぼ0%という実績があります。音声通話の回線契約には、携帯電話不正利用防止法により公的証明書での本人確認が必須――この“契約の重さ”自体が、なりすましのハードルを上げています。
コスト構造も逆転します。SMS認証は企業側に送信コストが発生し、再送信を含めると1認証あたり平均4回(自社調べ)の送信が生じることもあります。一方、電話発信認証は利用者が発信するため、企業の通信費はゼロ。所要時間も、SMSの約3分に対して約1秒です。「速い」だけでなく、費用負担の構造そのものが入れ替わるのが特徴です。
SMS廃止は、リスクであると同時にチャンスでもあります。「届く認証」から「かける認証」へ――この機会に、自社の入口を一段強い設計に置き換えてみてはいかがでしょうか。
具体的な認証フローの設計や、自社サイトでのシミュレーションをご希望の方は、Infront Security までお気軽にお問い合わせください。
出典
- ソニックス株式会社「SMSの二要素認証は危険?!」(2025/04/22) https://snx.co.jp/blog/250422-sms_authentication/
- Google Gmail SMS認証廃止・QRコード移行に関する各報道(2025) 例:ロケットボーイズ https://rocket-boys.co.jp/security-measures-lab/google-gmail-sms-authentication-qrcode-switch/
- 経済産業省/GビズID「SMSを用いたワンタイムパスワード認証の廃止」(2025/12/17廃止) https://www.meti.go.jp/policy/safety_security/industrial_safety/oshirase/2025/11/20251125_hoannet_oshirase.html
- 警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
