前のアイコン 記事一覧へ
2022年3月8日
2分間で読了できます。

多要素認証にSMS認証導入でアカウントのセキュリティを強化

度々ニュースで取り上げられる不正ログイン被害は今に始まったことではありません。年々スマートフォン所有者やインターネットバンキング利用者の増加に伴い、被害に遭うケースは増えております。企業は多要素認証に二要素認証であるSMS認証を導入しセキュリティ対策を行なっています。

CM.com Japan株式会社
CM.com Japan株式会社,
マーケティングチーム

SMS認証APIなら日本・海外にSMSを送信できるCM.com

多要素認証はなぜ必要とされる?

SMS認証コードを携帯電話で受け取る画像

一度漏洩したIDやPWは常に被害に遭う危険性は収まることはなく、多くのユーザーはIDやPWを異なるアプリで使い回しリスクは高まるばかりです。

事実、トレンドマイクロ社が実施したアンケートによると、85%以上のユーザーがパスワードを使いまわしていると回答してました。つまり多くの人は一度、IDとパスワードが漏洩してしまうと被害に遭うリスクを背負っているとも言えます。

ユーザーの当事者意識が低い中、二段階認証・二要素認証は不正ログイン被害を少しでも抑えるための対策として役立つとされています。

まずは多要素認証とは何かを確認し、意外と知られていない二段階認証と二要素認証の違いについてご紹介します。

CM.comが提供するSMS認証APIサービスをアプリやツールへ導入する前に基礎知識を確認していきましょう。

SMSの送信者名表記を電話番号とアルファベットで送る

認証はアプリやサービスに必須

多要素認証とはアプリやサービスへのログイン、新規登録事などに2つ以上の認証行為を行うことを指します。

この認証行為で最も一般的なものはSMS(ショートメッセージサービス)を使った認証コードやワンタイムパスワードの送信でしょう。それ以外にもスマートフォンの生体認証、顔認証、ICカード、トークンなどがあげられます。

これらの認証行為を組み合わせることで不正アクセス・ログイン防止へと繋がり各種アプリケーションのアカウントのセキュリティ強化に繋がります。

二段階認証とは

二段階認証とは、パスワードなどを用いて2回本人確認を実施する認証方法です。

代表的な2回目の認証方法としては、メールやSMSヘ送られる一度限りのパスワード認証があります。

Googleをはじめ多くのウェブサービスは、アカウントのセキュリティ強化のために「二段階認証」の設定をユーザーに呼び掛けています。

またニュースでも不正ログインが起きると、被害に遭ったサービスに二段階認証があったかどうかについて言及することがあります。

そのため「二段階認証」という言葉は少しずつ一般でも使われるようになってきますが、二段階認証の自体はまだまだ普及していません。

2018年にGoogleが発表したデータによると、Gmailユーザーの10%しか二段階認証を設定していないとのことでした。

参考:Gmailユーザーの9割が2段階認証を不使用(livedoorニュース)

二要素認証とは

二要素認証とは、認証の三要素と呼ばれる「知識」「所有」「生体」を組み合わせた認証方法を指します。

この認証では1つ以上の手段でユーザー認証を実施することを指します。主にデータへのアクセスや決済の前の本人確認として利用され、ユーザーのアカウントを保護し、個人情報の盗難や金銭的な被害から守ることに役立ちます。

昨今、不正ログインがニュースで取り上げられる機会が増えていることから、二要素認証に対する煩わしいというイメージが払拭されつつあります。むしろ、二要素認証が実装されていないと、万が一企業とそのユーザーが不正ログインの被害に遭った場合、企業のイメージダウンにつながり兼ねない状況です。

2020年はLINE乗っ取り4,000件以上(※1)、ニンテンドーネットワークID(NNID)不正ログイン16万件以上(※2)、ドコモ口座不正引き出し被害額2,885万円(※3)がニュースで話題となりました。これら以外にも不正ログイン被害は世界的に発生しています。

また、警視庁サイバー犯罪対策プロジェクトが発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況[R2.3.5掲載]」によると、平成30年から令和元年にかけてインターネットバンキングでの不正送金などが5倍以上も増えたとのことで、企業は今まで以上に不正ログイン対策を求められています。

【参考】



認証の要素

認証の要素は知識、所有、生体の3つとなります。

  • 知識:本人が知っている情報(パスワード、暗証番号)

  • 所有:本人の持ち物(スマートフォン、社員証、カード類、ハードウェアトークン)

  • 生体:本人の特徴(指紋、顔、静脈)



二要素認証が利用されるているのは、インターネットサービスだけではありません。例えば、ATMを利用する時は「知識(暗証番号)」と「所有(カード)」が必要です。そのため、ATMの利用も二要素認証が用いられていると言えます。

最も認知度のあるSMS認証は「知識」と「所有」

SMS認証は、認証の要素の中の「知識」と「所有」を組み合わせた二段階認証であり二要素認証です。

メールはパソコン、スマートフォン、タブレットなどマルチデバイスで確認できますが、SMSは携帯電話の電話番号に届くメッセージのため、該当するSIMの入った携帯電話端末でしか確認できません。

セキュリティを高めるためにSMS認証をログインの度に要求することもできますが、それではユーザー側の使い勝手が悪くなります。

ユーザー側の利便性も考慮するのであれば、ユーザーが普段使わないパソコンやモバイル端末からのログインを検知した時にSMS認証を要求する方法もあります。

ユーザーの利便性はもちろん、不正ログインにあった時の被害の大きさなどを鑑みて、SMS認証を要求する頻度を決めるといいでしょう。

ユーザーにとってはワンステップ増えて面倒かもしれませんが、被害がニュースで取り上げられているので、企業の安全対策に以前よりも理解を示すと考えられます。

多要素認証が脆弱だと不正ログインへ繋がる

多要素認証が脆弱な場合、パスワードリスト攻撃やフィッシングによりIDやパスワードが抜かれてしまう可能性があることは多くの方がご存知です。

しかし、実際に不正ログインによりどのようなことが起きているかを知っている人は少ないかもしれないので、パスワードリスト攻撃とフィッシングサイトの事例を紹介していきます。

1. パスワードリスト攻撃

すでに漏洩している情報が利用されるサイバー攻撃を「パスワードリスト攻撃」と呼びます。

悪意のある第三者が闇マーケットで入手したIDとパスワードのリストを使い、様々なサイトで不正ログインを試みる行為です。

パスワードリストによってはどのサービスのリストか分からないこともありますが、多くのユーザーが同じIDとパスワードを使いまわしている習慣につけ込んで行われる不正ログインです。

【パスワードリスト攻撃の流れ】

  1. 犯人が闇マーケットでパスワードリストを入手。

  2. リストにあるIDとパスワードを利用してサイトへのログインを試みる。

  3. 不正ログインに成功したIDの電話番号とメールアドレスを犯人のものに書き換える。

  4. 乗っ取ったIDのクレジットカードを不正に利用する



2. フィッシングサイト

メールやSMSで実在するサービスを名乗り、ユーザーに偽物のサイトにIDとパスワードを入力させ、そこで取得した情報を使って本物のサイトに不正ログインする方法もあります。

偽物のサイトをフィッシングサイトと呼び、フィッシングサイトが記載されているメールやSMSをフィッシングメールと呼びます。SMSの場合は「SMS Phishing」を略してSmishing(スミッシング)と呼ぶこともあります。

サービス提供者が個人情報の漏洩に最新の注意を払って対策を実施していたとしても、ユーザーがIDとパスワードを使いまわしていたら、別の経路で流出している情報を使って不正ログインされる危険とは常に隣り合わせです。

また、フィッシングサイトへのアクセスを止める確実な手段もありません。サービス提供者が不正ログインから守る手段として、ログイン時の対策があります。それが二段階認証(二要素認証)です。その中でも導入しやすいのがSMS認証です。

多様素認証にSMS認証を実装するメリット

Microsoft社が2019年8月に実施した調査結果によると、99.9%のサイバー攻撃は多要素認証で防げると言われています。

SMS認証は、認証三要素のうち「知識」と「所有」を活用した二要素認証です。ユーザーが普段利用していない端末からログインする時や決済などの重要な行為をおこなう時に二要素認証を要求することで、不正ログイン被害を防止できます。

またシングルサインオンの普及により、二要素認証は以前よりシンプルになりました。SMS認証で利用されるワンタイムパスワード(OTP)は、ログイン試行時にユーザーに送信される1回限りの文字や数字のパスワードです。SMSまたは音声を介して携帯電話に送信でき、ログイン時のセキュリティを強化できます。

1. 個人情報の盗難や詐欺を防止

2つ以上の認証ステップが必要になると、サイバー犯罪者のハッキングが困難になります。 サイバー犯罪者アクセスできない追加のセキュリティ対策を要求することで、詐欺や個人情報の盗難を減らせます。

2. ユーザーから信頼

ユーザーは自分の個人情報が安全な状態にあることを気にしています。1ステップ以上の認証プロセスを煩わしく不要に思われる時代は終わりました。

安全対策をしっかり実施している企業やサービスはユーザーから信頼され、高い評価を得られます。

3. ヘルプデスクの業務効率化

不正ログインの疑いが発生した際、企業はユーザーへ通知しなければなりません。それには労力とコストがかかります。二要素認証は不正ログインやその疑いを減らします。

そのため、ヘルプデスクは不正ログイン対応に追われることなく、カスタマーサービスに集中できるようになります。二要素認証の実装には費用がかかりますが、長期的には不正ログイン防止だけではなく、それに関連する労力やコストの削減にもつながります。

多要素認証にSMS認証を実装する方法

SMS認証を実装するためには、SMS配信APIが必要です。そして、別途パスワード生成と認証工程を開発し、SMS配信APIと組み合わせて仕組みを構築させます。

CM.comでは、SMS配信・パスワード生成・認証がセットになったSMS認証専用のAPIを提供しています。

開発工数と時間を削減してSMS認証を実装できます。日本国内だけではなく、20億ダウンロードを突破した海外の超大型SNSでもCM.comのAPIが利用されています。

SMS認証は不正ログインからユーザーを守る対策として、益々需要が高まってきています。

CM.comのSMS配信APISMS認証APIは完全従量課金制なので、月額サービスと比較して導入負担も大きくありません。

ぜひこの機会にSMS認証を実装し、サービスのセキュリティを強化しませんか?

CM.comのSMS認証APIを実装してセキュリティを強化を

この記事を共有する
CM.com Japan株式会社
CM.com Japan株式会社,
マーケティングチーム

CM.comは企業向けにSMS送信サービス、SMS配信・認証API、+メッセージ(RCS)、WhatsApp Business、メール配信システムなどを提供しているグローバルカンパニーです。当社プラットフォームを利用することで顧客セグメント、ターゲティング、LP・フォーム制作、配信分析などマーケティングやDXに求められることを実現できます。

最新記事

SMS Customer Service
Dec 03, 2024 • SMS

インサイドセールス、営業に役立つ!購買意欲の高い顧客と適切なタイミングで連絡を取る方法

近年、顧客が電話にも出ない、メールも見られないケースが多く、営業手段に頭を悩ませている企業が多いのではないでしょうか。同時にIT化が進み、ITを使ってできることが増えてきています。このブログではCM.comが提供するITの仕組みを使ったツールで購買意欲の高い顧客と最適なタイミングで連絡を取る方法をご紹介します。

hero-17-sms-customer-service-templates-to-use-today
Oct 01, 2024 • セキュリティ

SMS認証とは?メリットデメリットとSMS認証サービスの選定ポイントを紹介

近年、SMS認証は、さまざまなWebサービスやモバイルアプリを使用する際の本人確認の手段として活用されています。 携帯電話番号宛にSMSで送信される認証コード(確認コード)は、本人確認を目的とした二段階認証の一つです。 企業がSMS認証を導入する場合、APIでシステム連携する必要があります。 本記事では、SMS認証の解説と、メリットデメリット、SMS配信事業者の選定ポイントをご紹介します。

blogimage-sign-verzekeraar
Jul 22, 2024 • SMS

SMSをメールアドレスで送れる?メールソフトから送信できるサービスのメリットと利用方法を紹介

SMSをメールアドレス形式で送れたら簡単なのに。メアドが間違っていたときにショートメールを送りたい。 そんなときにGoogleのGmail、WindowsのOutlook、Thunderbird、YahooメールなどからSMSを送ることができたら企業では便利ですよね。 今回はふだん利用している差出人メールアドレスからSMSを送信できる法人向けのサービス、MailSMSを使用したSMSの送り方を紹介します。 このサービスはCM.comでアカウントを開設し、メールアドレスを登録するだけで、誰でも簡単にメール形式でSMSを送信できるのでぜひお試しください。

drive more automotive sales
Jun 09, 2024 • SMS

SMSで写真や画像は送れない?携帯電話番号宛のメッセージで画像を送信する方法と法人利用で画像を活用するメリットを解説

SMSで写真や画像を送ることはできるのか?送信できない場合に送る方法は別にないのかと、探している方は多いのではないでしょうか。今回はSMSから写真や画像が送れない?と困った時にSMS類似のサービスやSMSに添付して送信方法、また法人でSMSに画像を送付するメリットを紹介します。

RCS vs. SMS Messaging
Mar 27, 2024 • SMS

GmailからSMSを送信したら超簡単だった【事例付き】

GmailからSMSを送れないかな。到達率・開封率が高いショートメールを自社でも使ってみたいと思っても、実際のところ、「ツールの使い方を新たにキャッチアップするのがちょっと面倒」「他にもCRMツールを色々使っているし、これ以上ID/パスワードを社内で浸透させるのも地味に大変...」と二の足を踏んでいる方も多いのではないでしょうか。 本記事ではMailSMSを利用し、GmailからSMSを送信する方法を紹介します。

acquisition-chatbots
Mar 27, 2024 • SMS

SMSをURL付きで送信するには?事例やデメリット、SMS送信事業者の選び方

「SMSをURL付きで送信するメリット・デメリットが知りたい!」 「企業がSMSをURL付きで送信する目的は?」 このようなことが気になっているビジネスマンの方もいらっしゃるのではないでしょうか。 SMS(ショートメールサービス)は、新たな商品やサービスを紹介したり、販売促進を行ったりする際に活用が可能です。 非常にシンプルなUIで短文をメインに据えたメッセージを送信でき、顧客データを管理しながら、絞り込んだターゲットに対して訴求を行えます。 本記事では、そんなSMSをURL付きで送信するメリットやデメリットなどを解説します。 ぜひ最後までご覧ください。

sms-marketing benefit
Mar 15, 2024 • SMS

SMSを中国に送信するための方法と注意点を紹介

企業が中国にSMS送信するためには、中国へSMS送信ができるSMS送信事業者のサポートを得ながら適切な手続きを踏まなければなりません。CM.comは中国支店を有し、大手企業の配信実績もあることから、中国へSMSを届けることができます。これまでの経験をもとに、この記事では企業が中国の携帯電話端末にSMSを送信する方法を紹介します。

automatizacion-comercio-electronico
Feb 07, 2024 • SMS

セールスフォースのメール配信機能からSMSを送信する方法

セールスフォース(Salesforce)で管理している顧客データをもとにSMS(ショートメッセージ/ショートメール)を配信できたら便利ですよね。 しかし、セールスフォースのプラットフォームからSMSを配信するにはAPI連携かappexchangeの利用で開発の手間がかかります。 CM.comのメール配信機能からSMSを送信できるMail SMSを利用することで、特段な開発を必要とせずにメールと同じ手順でSMSが送信できます。 今回は、セールスフォースを活用してSMSを簡単に送る方法をご紹介します。

msc blog klantloyaliteit
Feb 05, 2024 • Eメール

メールとSMS配信はどちらが効果的?到達・開封・クリック率の違いなどを紹介

最近SMSのビジネス利用が注目され、導入検討する企業が増えてきています。 しかし、すでにメール配信という安価で便利なツールがあるのに、なぜ今更SMS配信なのか…という声もあります。 ここでは、SMS配信とメール配信の違いを含め、開封率、到達率などを紹介します。

Is this region a better fit for you?
Go
close icon