SMSじゃだめなの？2要素認証は別の手段が推奨！SIMスワップの危険とは？

ネットバンキングやネットショッピングなどのウェブサービスは、私たちの生活に根付き欠かせないものとなりましたよね？しかし、「なりすまし」にあっては困るので、多くの場合、2要素認証が採用されています。

ようするに、パスワードに加えて別の手段で本人確認するわけです。いくつか種類がありますが、SMSで使い捨てコードが送られてくるタイプのものをよく見かけます。6ケタくらいのコードがスマホに届くやつです。便利ですね。これでパスワードに加えて、スマホも盗られない限り不正に認証突破されないというわけです。

しかし、SMS認証は2要素認証の手段として推奨されないことが多いです。現に9月16日に米国連邦政府が発表したランサムウェアに対する注意喚起でも、対策として「多要素認証（ただしSMSベースでない）を求める」とあります。SMSベースが除外されているんです。

US authorities issue ransomware warning, and other cybersecurity news to know this month

SMS認証がどうして非推奨扱いかというと「SIMスワップ」に弱いことが一因です。あなたの個人情報が不正に取得された後、攻撃者があなたに「なりすまして」携帯キャリアに「スマホをなくした」などといってSIM交換を申請して新しいSIMをゲットします。これで2要素認証突破です。

2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される

1要素認証に比べたらSMS認証であっても2要素認証の方がはるかに安全ですが、SIMスワップのリスクがあることは知っておいて損はないでしょう。