固定パスワード認証の安全性の低下から、様々な会員サイトやWebサービス、SNSなどでのログイン時の認証時に、ID/パスワードを入力させると、ユーザーのスマホの電話番号宛にSMSメッセージで乱数を使ったログインコードが送信され、そのログインコードを入力して認証を完了とするWebサービスが増えてきました。
これは「SMS認証」と呼ばれる認証方式で、大手サービスでもこの方式を採用しています。しかし、このSMS認証を使った二要素認証が破られてしまうケースが発生してきました。

以前パスクリ通信でも下記の記事にてご紹介しました。

>パスクリ通信2019年3月1日号「二要素認証も安全とは言えない!?」

この記事ではSMS認証だけではなく、メールを使ったものも含めた二要素認証が破られてしまう恐れについてご紹介しました。
このSMS認証を破る手口は「SMSインターセプト」と呼ばれています。

「SMSインターセプト」とは?
SMSインターセプトとは、SMS認証で送信されたログインコードが盗まれてしまうことを言います。
その手口として現在、最も流行っているのが、フィッシングメール・SMSによる偽サイトへの誘導です。
偽サイトでID・パスワードを入力させ、それを詐取しつつ中継し、本物サイトに送り、本物のログインコードをSMSでユーザーに送信させます。そして、画面が切り替わった偽サイトで、ユーザーに本物のログインコードを入力させることでログインコードも詐取するのです。
この手口が流行している状況ですので、メールにあるURLをクリックすることは、ユーザーにとってリスクとなってきたのです。このことは、下記の記事で指摘しました。

>パスクリ通信2019年12月20日号「そのメールをクリックさせるか?」

他のSMSインターセプトの方法として、不正なスマホアプリを使う手口があります。
スマホアプリをダウンロード/インストールする時に、「SMSへのアクセス権限」の許可を求められることがあります。これを認めてしまうと、やり取りする全てのSMSをアプリに見られてしまうことになります。悪意のない大半のアプリは、動作に必要のない権限をできるだけ持たないように設定されていますが、最初から個人情報を抜き出そうとする悪意のあるアプリは、SMSへのアクセスを含め多くの権限を要求してきます。

もし、そのようなアプリをダウンロード/インストールし、SMSへのアクセス権限を付与したまま何か別のサービスへの認証を行うためのSMSを受信していると、その内容が傍受され、SMSに記載されているログインコードが不正利用者に盗まれてしまう恐れがあります。

また、SMSのネットワーク自体の脆弱性や、通信事業者側を騙したり、脅したりして、電話番号を不正利用者が持つSIMカードに移し替える「SIMスワップ」と呼ばれる手口も海外では発生しています(幸い日本ではまだ発生していないようですが)。

実際、SMSインターセプトのリスクがあることから、2016年には、アメリカ国立標準技術研究所(NIST)が「SMS認証は非推奨」という発表も行っています。しかし、SMS認証は携帯でもスマホでも特別のアプリやデバイスを必要としないで、多くの人が使えることもあって、様々なサービスがSMS認証を二要素目の認証として導入してしまい、今日に至っているのです。

ですので、SMS認証を使ったシステムを利用しているユーザーは、そのリスクがあることを認識し、フィッシングメールや悪意のあるアプリに気を付けましょう。
サービス事業者側では、SMS認証ではなく、別の方式で認証強化を図るよう、これからはSMS認証以外の方法を模索していくことをお勧めします。