「二段階認証(2FA)を有効にしているから安心」と思っていても、その手段がSMS(ショートメッセージ)である場合、近年はリスクが急速に高まっています。大規模な個人情報漏洩が繰り返され、攻撃者が“本人になりすます材料”を豊富に入手できるようになったことで、SMSを突破口にしたアカウント乗っ取りが増えています。この記事では、なぜSMS認証が狙われるのか、どんな被害が起きるのか、そして個人・企業が今すぐ取るべき現実的な対策を整理します。
SMS二段階認証が「もう危ない」と言われる背景
SMSによる二段階認証は、ID・パスワードに加えて「電話番号に届くコード」を求める仕組みです。追加の要素がある点では有効ですが、SMSはもともと“本人確認のための強固な認証チャネル”として設計されていません。さらに、今日の攻撃環境では次の条件が揃い、SMS 2FAの弱点が現実の被害につながりやすくなっています。
大量の個人情報漏洩で「なりすまし」に必要な情報が揃う
過去の大規模漏洩によって、氏名・住所・電話番号・生年月日・メールアドレスなどが攻撃者の手元に蓄積されています。これらは、通信事業者や各種サポート窓口での本人確認に使われる情報と重なることが多く、攻撃者が「本人になりすまして手続きを進める」難易度を下げます。
SMSは盗みやすい・乗っ取りやすい
SMS認証が破られる代表的な手口は、SIMスワップ(SIM乗っ取り)や、SMSを受け取れる状態を奪う手続き悪用です。攻撃者が通信事業者に虚偽申告して電話番号を自分のSIMに移し、認証コードを受け取ってログインを突破します。加えて、端末の盗難・紛失、マルウェア感染、通知内容の覗き見など、SMSは多方面から狙われます。
「認証」ではなく「到達性」を前提にした仕組み
SMSは便利な一方、通信網の仕様や運用上の制約があり、暗号化や端末内の安全な保護を前提にした設計ではありません。認証の世界では、SMSはしばしば「安全性の高い要素」ではなく「導入しやすい暫定策」と位置づけられます。被害が増えるほど、攻撃者はSMS突破に投資し、さらに成功率が上がるという悪循環が起きます。
実際に起きる被害:金融・EC・SNSが連鎖して崩れる
SMS 2FAが破られると、単一サービスの乗っ取りにとどまらず、被害が連鎖します。
メールアカウントが落ちると「全部」リセットされる
多くのサービスは「パスワード再設定」をメールに送る仕様です。もしメールが乗っ取られると、他のサービスも次々に再設定され、ドミノ倒しになります。SMS 2FAを使っているサービスでも、バックアップ手段が弱い(例:SMSに依存、セキュリティ質問、古い予備メール)と突破されやすくなります。
金融・決済は即時性が高く取り返しが難しい
ネットバンキング、証券、暗号資産、キャッシュレス決済、ECの後払い・クレカ登録などは、乗っ取り後の不正送金・不正購入が短時間で実行されます。本人が気づいたときには取引が完了していることがあり、補償の可否もサービス規約や過失判断に左右されます。
SNS・メッセージの乗っ取りは二次被害を生む
SNSが乗っ取られると、詐欺リンクの拡散、DMでの金銭要求、取引詐欺など、知人や顧客を巻き込む二次被害に発展します。企業アカウントの場合はブランド毀損も深刻です。
今すぐすべき対策:SMS依存からの脱却が最優先
結論から言えば、可能なサービスはSMS以外の多要素認証へ移行することが最も効果的です。以下、優先度順に整理します。
認証アプリ(TOTP)またはパスキー/FIDO2へ切り替える
SMSの代替として現実的なのが、以下の2つです。
- 認証アプリ(TOTP):Google Authenticator、Microsoft Authenticator、Authy等で生成されるワンタイムコード。SMSのように通信事業者の手続きに依存しにくい。
- パスキー(Passkey)/FIDO2:端末の生体認証やPIN、またはセキュリティキーでログインする方式。フィッシング耐性が高く、最終的に目指すべき形。
特にフィッシング被害が増えている現状では、パスキー対応サービスはパスキーを優先し、未対応ならTOTPへ移行、という段取りが堅実です。
バックアップコードと復旧手段を見直す
多要素認証を強化しても、「アカウント復旧」が弱いと突破されます。次を必ず確認してください。
- バックアップコードを発行し、オフラインで保管(紙、耐火金庫、暗号化USBなど)
- 予備メールアドレスの安全性(同等以上の2FAが必須)
- 電話番号が復旧の唯一手段になっていないか
通信キャリア側の防御:SIMスワップ対策を有効化
キャリアが提供する追加の本人確認(手続き時の暗証番号、店舗手続き限定、SIM再発行時の厳格化等)があれば有効化します。名称や提供範囲は事業者によって異なりますが、要点は「番号移転・SIM再発行・eSIM発行の手続き難易度を上げる」ことです。
パスワード運用を「長く・使い回さない」へ
SMS 2FAが狙われる局面でも、そもそもパスワードが使い回しだと危険度が跳ね上がります。
- 各サービスで固有の長いパスワード(推奨:16文字以上)
- パスワードマネージャーで生成・保存
- 漏洩が疑われる場合は即変更(同じパスワードを使う全サービス)
ログイン通知・不審ログインの監視をオンにする
多くのサービスには「新しい端末からのログインを通知」「ログイン履歴」「セッション管理(ログアウト)」があります。通知をオンにし、見覚えのないアクセスがあれば、パスワード変更とセッション全停止、2FA方式変更を即実施してください。
企業が取るべき対策:SMSを“最後の手段”にする設計
個人の自衛に加え、サービス提供側もSMS依存の設計を見直す局面に来ています。
推奨は「フィッシング耐性のあるMFA」
企業の認証基盤では、可能な限りパスキー/FIDO2やデバイス証明書など、フィッシング耐性のある方式を標準にすべきです。SMSは、どうしても代替がないユーザーへの救済として残す場合でも、リスクベース認証や追加審査(本人確認強化)と組み合わせる必要があります。
アカウント復旧フローの強化が急務
攻撃者は「ログイン」より「復旧」を狙います。復旧時に漏洩情報(氏名・住所・生年月日)だけで通ってしまう設計は危険です。復旧には複数チャネル、本人確認の強化、時間的猶予(クールダウン)や不正検知を取り入れ、ユーザーにも分かりやすく説明することが重要です。
漏洩前提の防御:異常検知と被害最小化
認証強化に加え、異常な送金・購入・端末変更の検知、段階的な取引制限、重要操作時の追加認証、サポート窓口のソーシャルエンジニアリング対策(オペレーター教育、手順の標準化)も欠かせません。
まとめ:SMSは「便利」でも「強固」ではない
SMS二段階認証は、何もない状態よりは良い一方で、個人情報漏洩と手続き悪用が常態化した現在、攻撃者にとって攻略対象としての魅力が増しています。重要なのは、SMSを最終防衛線にしないことです。パスキーや認証アプリへの移行、復旧手段の点検、キャリア手続きの防御、パスワードの使い回し排除といった基本を、今日から実施してください。それだけで、乗っ取りの成功率を大きく下げられます。
参照リンク:
二段階認証のSMSは「もう危ない」?10億件の個人情報漏洩で急増する“乗っ取り”の恐怖と、今すぐすべき対策 | チバテレ+プラス – 千葉テレビ放送