SMSは高セキュリティ!その理由とは?

SMSは、企業・ユーザーの両者にとって高セキュリティで安全に使える通信手段です。その理由として、携帯電話番号を契約したSIMが搭載された端末(スマートフォン・ガラケーなど)のみに送信できる点が挙げられるでしょう。SIMを契約する際には身元確認が必要であり、電話番号と紐づけることによって本人認証なども可能になります。

SMSを利用した本人認証では、企業側のサービスにユーザーが携帯電話番号を登録し、ログインの際に登録した携帯電話番号宛にSMSを送信することで本人確認を行います。この時、企業側は顧客本人に情報を届けることができ偽造や複製の可能性が低いため、安全性の高い認証方式として利用可能です。また、デバイスと紐づいた携帯電話番号を利用していることから、ユーザー側もアカウントを偽造されるリスクが低く、安全な本人認証を実現するための手段として活用されています。

加えて、メールと異なり、アドレスやパスワードなどが漏れて異なる端末で情報を受信される心配もありません。SMSでは携帯電話番号を利用しますが、仮に電話番号を知られたとしても異なる端末で受信することはできないからです。

企業・ユーザー共に対策しておきたい「スミッシング」とは?

スミッシングとは、SMSを用いたフィッシング詐欺のことを表します。フィッシング詐欺とは、ユーザーを正規のウェブサイトを模した不正サイトに誘導し、個人情報等を盗み出す行為です。メール・SMSを合わせたフィッシング・スミッシングの発生件数は、フィッシング対策協議会の調査によると、2022年10月で78,126 件*。ほかの月を見ても、毎月数万~10万件程度発生しています。

件数の増加に加えて、年々手口が巧妙になっていることもあり、スミッシング対策は重要です。近年では、キャリアがスミッシング対策の一環としてフィルタリングを強化していますが、企業側・ユーザー側でもそれぞれ対策を実施する必要があります。

ユーザー側は、不審なSMSは開かない、接続先がわからない短縮URLのリンクを安易に開かない、などの対策を行いましょう。スミッシングでは金融機関やキャリア決済などを騙った内容で送られてくることがありますが、文章内に記載されている企業名やキャリア名がよく見ると違ったり、URLが公式サイトと異なっていたりという不審な点があるため、落ち着いて内容をしっかり確認すれば対策できます。

企業側は、ユーザーからスミッシングだと思われないように、いきなりURL付きのSMSを送信しないことが重要です。SMSを送信する際には、事前にウェブサイトやサービスの登録時にSMSによる配信を告知する対策が必要です。また、SMSを受信した端末にメッセージの送信元として表示される番号である「送信元ID」を設定することで、ユーザーに対して送信元を明示できるため、併せて活用することをおすすめします。

スミッシングを受信した人

SMS認証を用いたセキュリティ対策

最初にご紹介したとおり、近年、SMSは本人確認のための仕組みとして利用される機会が増えています。この仕組みは「SMS認証」と呼ばれ、不正アクセスなどを防ぐためのセキュリティ対策として有効です。

ここでは、SMS認証を用いたセキュリティ対策の例を簡単にいくつか紹介します。

SMS認証についてより詳しく知りたい方は、「SMS認証とは?仕組みやメリット、活用例・導入方法について解説!」の記事も併せてご覧ください。

二段階認証

二段階認証とは、ログインを二段階の認証に分けることで不正アクセスを防止する仕組みです。例えば、IDとパスワードによる認証とSMS認証を組み合わせることで、二段階認証が実現します。二段階認証を用いれば、仮にパスワードが知られてしまったとしても、もう一つの認証は突破できないため、不正アクセスを防げます。

認証に用いられる要素には「知識」「所有」「生体」の3つの要素がありますが、ID/パスワードは「知識要素」(本人しか知らない情報)に該当し、SMS認証は「所有要素」(本人しか持っていないもの)に該当します。なお、「生体要素」は、指紋や顔など、本人固有の身体的特徴が当てはまります。

これらの要素を組み合わせることで「多要素認証」が実現でき、SMS認証は多要素認証を実現するための手段としても頻繁に利用されています。

二段階認証や多要素認証についてより詳しく知りたい方は、「二段階認証とは?仕組みや種類、メリットを解説!導入時の注意点も」の記事もおすすめです。

二段階認証

不正アカウントの取得防止

SMS認証を活用することで、不正アカウントの取得防止も実現できます。多くのサービスではアカウントを取得するためにメールアドレスを用いることが多いでしょう。しかし、メールアドレスは、簡単に取得できることから、一人で大量のアカウントを作成することも可能です。

このようにして作成されたアカウントは、例えばオンラインゲームであれば不正行為(チート行為)に利用されたり、ECサイトであれば、転売目的で販売制限がある製品を大量に購入したりするために利用されている可能性があります。

このような不正アカウントの取得を防止するためにSMS認証は有効です。SMS認証では携帯電話番号を利用しますが、量産できるメールアドレスと違い、一人で複数の携帯電話番号を持っていることは多くありません。仮に複数の携帯電話番号を持っていたとしても、大量アカウントの作成は難しいでしょう。そのため、アカウントの登録時に本人確認としてSMS認証を導入することで、原則一人一アカウントに留めることができます。

【企業向け】セキュリティの高いSMS送信サービスの選び方

企業がSMSを活用したいと考える場合には、SMS送信サービスを利用することをおすすめします。SMS送信サービスとは、SMS送信を効率化するためのサービスです。SMS送信サービスを利用することで、SMSの一斉送信や、既存システムと連携したSMSの自動送信などが可能になります。

情報漏洩などを防ぎ、安心してSMSを送信するためには、信頼性があり、セキュリティの高いSMS送信サービスを選択することが重要です。そこで、ここからはセキュリティの高いSMS送信サービスの選び方を紹介します。

より詳しく知りたい方は、「SMS送信サービスのメリットとは?選び方やおすすめサービスを紹介!」でも解説していますので、併せてご覧ください。

キャリア直接接続(キャリア直収)のサービスを選ぶ

SMSの接続方式には「キャリア直接接続」と「国際網接続」の2種類が存在します。名称のとおり、国内の回線網を使用するのか、海外の回線網を使用するのかの違いです。キャリア直接接続は「キャリア直収接続」とも呼ばれ、楽天モバイルやドコモ、au、ソフトバンクなどの国内キャリアと直接接続してSMS送信を行います。

SMS送信サービスのなかには、「キャリア直接接続のみ」「国際網接続のみ」「一部キャリア直接接続」などいくつか種類が存在するため、導入する際にはどの種類のサービスなのかしっかりと確認することが重要です。近年では、スミッシングの被害が増えていることから、国際網接続で送信されたSMSを受信拒否しているユーザーも多く存在します。

キャリア直接接続は、海外の回線網を使用するよりも、ユーザーへの到達率が高くなります。確実にユーザーにSMSを届けるためにも、キャリア直接接続のサービスを選択することをおすすめします。

キャリア直接接続

送信元ID(Sender ID)が指定できるサービスを選ぶ

送信元ID(Sender ID)とは、受信者の端末にメッセージの送り主として表示される文字列です。SMS送信サービスから送信元IDを指定せずSMSを送信する場合、キャリアが割り当てた送信元IDが表示されます。しかし、送信元IDが指定できるSMS送信サービスを利用すれば、自社で保有している電話番号を送信元として設定することができます。

例えば、実在する代表電話番号や店舗の電話番号などを設定できるため、企業のなりすましSMSを防げます。独自の送信元IDを設定することで、他社との送信元IDの共有を避けることができ、ユーザーからの認知や信頼性を高めることが可能です。

送信元IDではアルファベットも指定できますが、国内電話番号を設定することをおすすめします。送信元IDでアルファベットを記載すると送信元の偽造が容易に行うことができるため、フィッシング詐欺に利用される可能性があるからです。送信元IDの偽装ができれば、正規のSMSスレッドの中に偽装SMSを潜り込ませることもできてしまいます。ユーザーからすると判別が難しく、非常に危険です。

国内電話番号は、偽装が難しいことから、送信元IDには国内電話番号を設定することがおすすめです。

第三者機関からの認証を取得しているサービスを選ぶ

メールと比べて安全性の高いSMSですが、リスクは存在しています。これは、SMS自体だけでなくSMS送信サービスについても同様です。そのため、SMS送信サービスを選ぶ際の基準一つとして、サービスの安全性が重要視されますが、その際の指標となるものが第三者機関からの認証を取得しているかどうかです。

セキュリティを高めるためには包括的な対策が必要ですが、そのためには専門的な知識が求められます。どんなに対策をしても、セキュリティリスクに合わせた適切な対策をしていなければ意味がありません。サービスごとにセキュリティ対策は実施されていますが、利用者からはその判断が難しいでしょう。

そこで、セキュリティの専門機関が評価して認証していることを明記されていれば、しっかりとセキュリティ対策がなされていること判断できます。第三者機関からの認証として代表的なものは、「ISMS」や「プライバシーマーク(Pマーク)」が挙げられます。ISMSは、国際規格に基づき、情報セキュリティ確保の仕組みが適切に構築・運用されていることを認証する制度です。Pマークは、個人情報保護法に基づいた保護体制の構築・運用がされていることを認証する制度です。

ISMSやPマークは有効期限が定められているため、これらの認証を取得しているサービスは定期的にセキュリティ対策をアップデートしていることの証明にもなります。セキュリティの環境は常に変化し続けており、対応し続けることが重要です。そのため、このように第三者機関からの認証を取得しているSMS送信サービスを選ぶことは、セキュリティを高める上で有効と言えるでしょう

「Rakuten CPaaS SMS API」を使ってSMSを利用しよう!

SMSは携帯電話番号を利用することから、到達率・開封率が高く本人認証やプロモーションなどで活用されています。その一方で、スミッシングのようなセキュリティリスクも存在するため、対策が欠かせません。

SMSを活用したSMS認証は、二段階認証や不正アカウントの取得防止などに活用されており、セキュリティ対策としてSMSを活用する例も増えてきました。SMS自体のセキュリティを高めることで、SMS認証のようなセキュリティ対策も効果を最大限に発揮できるようになります。

企業がプロモーションなどでSMSを活用する場合には、SMS送信サービスの利用がおすすめです。

「Rakuten CPaaS SMS API」サービスは、携帯電話やスマートフォンに、SMS(ショートメッセージサービス)を一括/個別に配信し、企業と顧客のコミュニケーションに使われる法人向けサービスです。国内キャリアと直接接続で、シンプルで使いやすいダッシュボードとAPIを業界最安級の価格でご提供いたします。

  • 別サイトに遷移します。
サービス説明資料