多要素認証にSMS認証導入でアカウントのセキュリティを強化

SMS認証APIなら日本・海外にSMSを送信できるCM.com

多要素認証はなぜ必要とされる？

一度漏洩したIDやPWは常に被害に遭う危険性は収まることはなく、多くのユーザーはIDやPWを異なるアプリで使い回しリスクは高まるばかりです。

事実、トレンドマイクロ社が実施したアンケートによると、85%以上のユーザーがパスワードを使いまわしていると回答してました。つまり多くの人は一度、IDとパスワードが漏洩してしまうと被害に遭うリスクを背負っているとも言えます。

ユーザーの当事者意識が低い中、二段階認証・二要素認証は不正ログイン被害を少しでも抑えるための対策として役立つとされています。

まずは多要素認証とは何かを確認し、意外と知られていない二段階認証と二要素認証の違いについてご紹介します。

CM.comが提供するSMS認証APIサービスをアプリやツールへ導入する前に基礎知識を確認していきましょう。

認証はアプリやサービスに必須

多要素認証とはアプリやサービスへのログイン、新規登録事などに2つ以上の認証行為を行うことを指します。

この認証行為で最も一般的なものはSMS（ショートメッセージサービス）を使った認証コードやワンタイムパスワードの送信でしょう。それ以外にもスマートフォンの生体認証、顔認証、ICカード、トークンなどがあげられます。

これらの認証行為を組み合わせることで不正アクセス・ログイン防止へと繋がり各種アプリケーションのアカウントのセキュリティ強化に繋がります。

二段階認証とは

二段階認証とは、パスワードなどを用いて2回本人確認を実施する認証方法です。

代表的な2回目の認証方法としては、メールやSMSヘ送られる一度限りのパスワード認証があります。

Googleをはじめ多くのウェブサービスは、アカウントのセキュリティ強化のために「二段階認証」の設定をユーザーに呼び掛けています。

またニュースでも不正ログインが起きると、被害に遭ったサービスに二段階認証があったかどうかについて言及することがあります。

そのため「二段階認証」という言葉は少しずつ一般でも使われるようになってきますが、二段階認証の自体はまだまだ普及していません。

2018年にGoogleが発表したデータによると、Gmailユーザーの10％しか二段階認証を設定していないとのことでした。

参考：Gmailユーザーの9割が2段階認証を不使用（livedoorニュース）

二要素認証とは

二要素認証とは、認証の三要素と呼ばれる「知識」「所有」「生体」を組み合わせた認証方法を指します。

この認証では1つ以上の手段でユーザー認証を実施することを指します。主にデータへのアクセスや決済の前の本人確認として利用され、ユーザーのアカウントを保護し、個人情報の盗難や金銭的な被害から守ることに役立ちます。

昨今、不正ログインがニュースで取り上げられる機会が増えていることから、二要素認証に対する煩わしいというイメージが払拭されつつあります。むしろ、二要素認証が実装されていないと、万が一企業とそのユーザーが不正ログインの被害に遭った場合、企業のイメージダウンにつながり兼ねない状況です。

2020年はLINE乗っ取り4,000件以上（※1）、ニンテンドーネットワークID（NNID）不正ログイン16万件以上（※2）、ドコモ口座不正引き出し被害額2,885万円（※3）がニュースで話題となりました。これら以外にも不正ログイン被害は世界的に発生しています。

また、警視庁サイバー犯罪対策プロジェクトが発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況[R2.3.5掲載]」によると、平成30年から令和元年にかけてインターネットバンキングでの不正送金などが5倍以上も増えたとのことで、企業は今まで以上に不正ログイン対策を求められています。

【参考】

• 「任天堂、不正アクセスされた可能性がある「ニンテンドーネットワークID」が追加で14万件存在していたことを公表」ーGAME WATCH

• 「LINEへの不正ログインに対する注意喚起」ーLINE

• 「ドコモ口座と口座振替サービス不正利用を総括。3つの問題点」ーIMPRESS WATCH

認証の要素

認証の要素は知識、所有、生体の3つとなります。

• 知識：本人が知っている情報（パスワード、暗証番号）

• 所有：本人の持ち物（スマートフォン、社員証、カード類、ハードウェアトークン）

• 生体：本人の特徴（指紋、顔、静脈）

二要素認証が利用されるているのは、インターネットサービスだけではありません。例えば、ATMを利用する時は「知識（暗証番号）」と「所有（カード）」が必要です。そのため、ATMの利用も二要素認証が用いられていると言えます。

最も認知度のあるSMS認証は「知識」と「所有」

SMS認証は、認証の要素の中の「知識」と「所有」を組み合わせた二段階認証であり二要素認証です。

メールはパソコン、スマートフォン、タブレットなどマルチデバイスで確認できますが、SMSは携帯電話の電話番号に届くメッセージのため、該当するSIMの入った携帯電話端末でしか確認できません。

セキュリティを高めるためにSMS認証をログインの度に要求することもできますが、それではユーザー側の使い勝手が悪くなります。

ユーザー側の利便性も考慮するのであれば、ユーザーが普段使わないパソコンやモバイル端末からのログインを検知した時にSMS認証を要求する方法もあります。

ユーザーの利便性はもちろん、不正ログインにあった時の被害の大きさなどを鑑みて、SMS認証を要求する頻度を決めるといいでしょう。

ユーザーにとってはワンステップ増えて面倒かもしれませんが、被害がニュースで取り上げられているので、企業の安全対策に以前よりも理解を示すと考えられます。

多要素認証が脆弱だと不正ログインへ繋がる

多要素認証が脆弱な場合、パスワードリスト攻撃やフィッシングによりIDやパスワードが抜かれてしまう可能性があることは多くの方がご存知です。

しかし、実際に不正ログインによりどのようなことが起きているかを知っている人は少ないかもしれないので、パスワードリスト攻撃とフィッシングサイトの事例を紹介していきます。

1. パスワードリスト攻撃

すでに漏洩している情報が利用されるサイバー攻撃を「パスワードリスト攻撃」と呼びます。

悪意のある第三者が闇マーケットで入手したIDとパスワードのリストを使い、様々なサイトで不正ログインを試みる行為です。

パスワードリストによってはどのサービスのリストか分からないこともありますが、多くのユーザーが同じIDとパスワードを使いまわしている習慣につけ込んで行われる不正ログインです。

【パスワードリスト攻撃の流れ】

1. 犯人が闇マーケットでパスワードリストを入手。

2. リストにあるIDとパスワードを利用してサイトへのログインを試みる。

3. 不正ログインに成功したIDの電話番号とメールアドレスを犯人のものに書き換える。

4. 乗っ取ったIDのクレジットカードを不正に利用する

2. フィッシングサイト

メールやSMSで実在するサービスを名乗り、ユーザーに偽物のサイトにIDとパスワードを入力させ、そこで取得した情報を使って本物のサイトに不正ログインする方法もあります。

偽物のサイトをフィッシングサイトと呼び、フィッシングサイトが記載されているメールやSMSをフィッシングメールと呼びます。SMSの場合は「SMS Phishing」を略してSmishing（スミッシング）と呼ぶこともあります。

サービス提供者が個人情報の漏洩に最新の注意を払って対策を実施していたとしても、ユーザーがIDとパスワードを使いまわしていたら、別の経路で流出している情報を使って不正ログインされる危険とは常に隣り合わせです。

また、フィッシングサイトへのアクセスを止める確実な手段もありません。サービス提供者が不正ログインから守る手段として、ログイン時の対策があります。それが二段階認証（二要素認証）です。その中でも導入しやすいのがSMS認証です。

多様素認証にSMS認証を実装するメリット

Microsoft社が2019年8月に実施した調査結果によると、99.9%のサイバー攻撃は多要素認証で防げると言われています。

SMS認証は、認証三要素のうち「知識」と「所有」を活用した二要素認証です。ユーザーが普段利用していない端末からログインする時や決済などの重要な行為をおこなう時に二要素認証を要求することで、不正ログイン被害を防止できます。

またシングルサインオンの普及により、二要素認証は以前よりシンプルになりました。SMS認証で利用されるワンタイムパスワード（OTP）は、ログイン試行時にユーザーに送信される1回限りの文字や数字のパスワードです。SMSまたは音声を介して携帯電話に送信でき、ログイン時のセキュリティを強化できます。

1. 個人情報の盗難や詐欺を防止

2つ以上の認証ステップが必要になると、サイバー犯罪者のハッキングが困難になります。 サイバー犯罪者アクセスできない追加のセキュリティ対策を要求することで、詐欺や個人情報の盗難を減らせます。

2. ユーザーから信頼

ユーザーは自分の個人情報が安全な状態にあることを気にしています。1ステップ以上の認証プロセスを煩わしく不要に思われる時代は終わりました。

安全対策をしっかり実施している企業やサービスはユーザーから信頼され、高い評価を得られます。

3. ヘルプデスクの業務効率化

不正ログインの疑いが発生した際、企業はユーザーへ通知しなければなりません。それには労力とコストがかかります。二要素認証は不正ログインやその疑いを減らします。

そのため、ヘルプデスクは不正ログイン対応に追われることなく、カスタマーサービスに集中できるようになります。二要素認証の実装には費用がかかりますが、長期的には不正ログイン防止だけではなく、それに関連する労力やコストの削減にもつながります。

多要素認証にSMS認証を実装する方法

SMS認証を実装するためには、SMS配信APIが必要です。そして、別途パスワード生成と認証工程を開発し、SMS配信APIと組み合わせて仕組みを構築させます。

CM.comでは、SMS配信・パスワード生成・認証がセットになったSMS認証専用のAPIを提供しています。

開発工数と時間を削減してSMS認証を実装できます。日本国内だけではなく、20億ダウンロードを突破した海外の超大型SNSでもCM.comのAPIが利用されています。

SMS認証は不正ログインからユーザーを守る対策として、益々需要が高まってきています。

CM.comのSMS配信APIやSMS認証APIは完全従量課金制なので、月額サービスと比較して導入負担も大きくありません。

ぜひこの機会にSMS認証を実装し、サービスのセキュリティを強化しませんか？