SMS認証は、その利便性と低コストから多くのオンラインサービスで広く採用されていますが、同時にその脆弱性を突いた詐欺被害も拡大しています。
リアルタイムフィッシングやSIMスワップといった、従来の二要素認証をも簡単に突破する最新の手口も登場しています。
さらに、使い捨て電話番号やSMS認証代行業者を悪用して、本人になりすます事例も増えてきており、注意が必要です。
本記事では、SMS認証の脆弱性とその背景を詳しく解説し、事業者が取るべき具体的な対策について紹介します。
1. SMS認証を突破される被害が急増
被害の実態
二要素認証は、パスワードなどの知識に加えて、別の認証要素を組み合わせて行うセキュリティ手法で、これまでは比較的強固な認証方式とされてきました
SMS認証はユーザーの携帯電話にワンタイムパスワードを送信し、それをユーザーが入力することで本人確認を行うため、非常に便利です。
このため、多くのサービスでSMS認証が二要素認証の一環として使用されています。
しかし、このSMS認証が、フィッシング詐欺のターゲットとなり、その安全性が揺らいでいます。
2019年以降、特にネットバンキングに関連した不正送金やアカウント乗っ取りが大幅に増加しました。
警視庁によると、2023年にはフィッシング被害件数が5,147件、被害額は約80.1億円に達し、これまでにない規模の被害が確認されています。
背景には二要素認証を突破する手口が確立され、従来のセキュリティ対策が無力化されていることが挙げられます。
SMS認証の普及とその限界
SMS認証が広く普及した背景には、利便性とコストの低さが大きく関わっています。
携帯電話の普及に伴い、SMSは誰もが利用可能なツールとなり、特別なアプリケーションやデバイスを必要とせず、すぐに導入できる点が大きな魅力でした。
さらに、SMS認証は、既存のモバイルネットワークを活用するため、技術的な導入コストも比較的低く抑えられるため、多くのサービスで二要素認証の一環として採用されました。
ユーザーにとっても、普段使っている携帯電話で手軽に認証が行えることから、複雑な手続きなしにセキュリティを強化できるという利便性が高く評価されています。
オンラインバンキングやEコマース、SNSアカウントといった広範な分野で、安全性を向上させる手段としてSMS認証が広く利用されるようになりました。
SMS認証は、技術的なハードルが低く、ユーザー体験を向上させながらも、一定のセキュリティを提供することから、迅速に普及してきたのです。
しかし、こうした利便性の裏には重大な脆弱性が潜んでいます。
SMS自体が暗号化されていないため、通信経路上でメッセージが盗まれるリスクがあります。
もし攻撃者がこのメッセージを傍受すると、送信されたワンタイムパスワードを簡単に読み取り、悪用することが可能です。
セキュリティを強化するはずの仕組みが、実は攻撃者にとって格好の標的となってしまう場合もあるため、SMS認証は「諸刃の剣」とも言える存在です。
近年登場したリアルタイムフィッシングやSIMスワップなど、SMS認証を簡単に突破する詐欺手法も広がっており、SMS認証の有効性が急速に薄れてきています。
2. マルウェアによるなりすまし
リアルタイムフィッシング詐欺とは
リアルタイムフィッシングの仕組み
リアルタイムフィッシングは、ユーザーが偽のログインページに騙されていることに気づかない高度な詐欺手法です。
攻撃者は、正規サイトに酷似した偽のログインページを作成し、ユーザーをそこに誘導します。
ユーザーは正規サイトだと信じてログイン情報や認証コードを入力しますが、その情報はリアルタイムで攻撃者に転送されます。
攻撃者は、ユーザーの入力した情報を即座に利用して、正規のサイトにログインします。
この間、ユーザーは自分が偽サイトにアクセスしていることに気づかず、通常のログイン操作を行っていると感じています。
ユーザーが入力を終えると同時に、攻撃者は既にアカウントにアクセスしており、場合によってはアカウントの設定を変更したり、不正送金を行うこともあります。
この攻撃手法では、ユーザーと攻撃者が同時に行動するため、検出が非常に困難であり、被害が瞬時に発生します。
リアルタイムでの攻撃が行われるため、被害者はログイン後すぐには異変に気づかないことがほとんどです。
なぜSMS認証では防げないのか
SMS認証で使われるコードは、短時間しか有効ではなく、その間にユーザーがコードを入力することで本人確認を行います。
しかし、リアルタイムフィッシングでは、ユーザーがコードを入力したその瞬間に情報が攻撃者に渡ります。
攻撃者は、この短い時間内にリアルタイムで正規サイトにログインし、認証コードを使用して不正にアクセスします。
ここでの問題は、SMS認証が時間に依存している点です。
認証コードが短時間しか有効でないからこそ安全だと考えられていましたが、リアルタイムで攻撃者がその短い時間内に動くと、このセキュリティの仕組みが無力化されてしまうのです。
3. 人的ななりすまし操作
SIMスワップ詐欺とは
SIMスワップ詐欺の仕組み
SIMスワップ詐欺は、攻撃者がターゲットの携帯電話番号を不正に取得し、被害者のアカウントにアクセスする手口です。
まず、攻撃者はターゲットの個人情報を集めます。
個人情報には被害者の名前、住所、電話番号、生年月日などが含まれ、フィッシングメールや他の不正手段で取得されることが多いです。
次に、攻撃者は携帯電話のキャリア会社に連絡し、ターゲットになりすまして「SIMカードの交換」を要求します。
攻撃者は、被害者が電話やSMSを受信できないようにし、新しいSIMカードを自分のデバイスに挿入します。
これにより、攻撃者は被害者の電話番号に紐づけられたすべてのメッセージや認証コードを受け取ることが可能となります。
攻撃者は、新たなSIMカードを使ってSMS認証を突破し、被害者のオンラインバンキングやSNSなどのアカウントにログインし、不正アクセスや資金移動を行う流れです。
なぜSMS認証では防げないのか
SIMスワップ詐欺では、攻撃者がターゲットの電話番号を奪うことで、正規のSMS認証コードを自分のデバイスで受け取るため、SMS認証は効果的な防御策にはなりません。
SMS認証は、コードが正しい電話番号に送信されることを前提にしていますが、SIMスワップではその番号自体が攻撃者に渡ってしまうため、システムは攻撃者を正規のユーザーとして認識してしまうためです。
被害者は通常、携帯電話が突然使えなくなることで問題に気付きますが、すでに攻撃が完了していることが多いです。
使い捨て電話番号やSMS認証代行業者の存在
なりすまし電話番号による詐欺の仕組み
使い捨て電話番号やSMS認証代行業者は、一時的な電話番号を提供し、ユーザーが自分の番号を使わずにSMS認証を通過できるサービスを行っています。(試しに、『電話番号 使い捨て』と検索してみてください)
こうしたサービスは、短期間の利用やプライバシー保護が必要なニーズに対応すべく拡大してきました。
ところが、悪意を持った攻撃者は、フィッシングやマルウェアによって事前にターゲットのパスワードや個人情報を取得し、ターゲット本人になりすました上で一時的な電話番号を悪用してSMS認証を突破してしまいます。
なぜSMS認証では防げないのか
SMS認証は、登録された電話番号に認証コードを送信し、それを入力することで本人確認を行います。
しかし、この方式には、送信先の電話番号の正当性を確認する仕組みがありません。
特に攻撃者がターゲットのパスワードや個人情報を事前に入手している状況ではSMS認証を通じた二要素認証は非常に脆弱です。
使い捨て電話番号やSMS認証代行業者を利用してコードを受信しても、システムは正規のユーザーと見なし、アカウントへの不正アクセスを可能にするためです。
4. Infront Securityによる解決策
電話+端末認証による高い本人担保性
Infront Securityでは、ユーザーが指定された電話番号に架電することで本人認証を行います。初期登録時には、ユーザーの端末固有情報を認証基盤の端末DBに登録します。通常のログイン認証時には、ID認証および端末情報認証によって利用者認証を実現します。
この認証方式では、ログイン認証時にID認証と端末情報認証を組み合わせて利用者認証を行うため、リアルタイムフィッシングに対しても高い効果を発揮します。攻撃者が情報をリアルタイムで傍受しても、フィッシングサイトやフィッシング後のログイン端末の端末情報が認証基盤に登録されている情報と一致しない限り、ログインが拒否されます。そのため、ログインできない場合にはWebサイト上で一切の取引を行うことができません。
また、端末情報認証により、攻撃者が取得した情報を他の端末で使用することを防ぎ、仮にSIMスワップ詐欺で電話番号が乗っ取られたとしても、認証を突破できない仕組みです。
使い捨て電話番号からは電話発信不可
使い捨て電話番号やSMS認証代行業者が提供する番号は、主に一時的に受信専用で使われるため、電話発信ができない仕組みになっています。
これらの番号は、短期間での認証や匿名性の確保を目的に提供されるものであり、通話や継続的なサービスに対応していないケースがほとんどです。
Infront Securityの認証方式では、ユーザーが指定された番号に対して電話をかけることが本人確認の重要な要素となっています。
使い捨て電話番号では発信機能がないため、攻撃者が使い捨て電話番号やSMS認証代行業者の番号を使用しても、本人確認ができず、不正なアクセスは防止されます。
