SMSによる二段階認証は導入しやすい一方、近年は「本人になりすます材料」が漏洩で大量に流通し、前提が崩れています。氏名・住所・生年月日・電話番号などは、キャリアや各種サポートの本人確認情報と重なりやすいです。その結果、攻撃者はSIM再発行や番号移転の手続きを悪用し、認証コードの受信先そのものを奪います。
代表例がSIMスワップで、電話番号を攻撃者のSIM/eSIMへ移し替えてSMSコードを受け取ります。端末紛失、マルウェア、通知の覗き見なども含め、SMSは多方面から狙われます。情シスとしては「SMSは認証強度の高い要素ではなく、到達性に依存するチャネル」である点を前提に設計と運用を見直す必要があります。
SMSが突破されると、単一サービスの侵害に留まらず、業務影響が連鎖します。特にメールアカウントの乗っ取りは致命的で、パスワード再設定メールを起点に複数SaaSや業務システムへ横展開されます。バックアップ手段がSMS依存、脆弱な予備メール、旧来の秘密の質問などの場合、復旧フローから崩されます。
金融・決済・ECは即時性が高く、不正送金や不正購入が短時間で完了しがちです。SNSやメッセージングの侵害は、取引先・顧客への詐欺拡散につながり、信用毀損のインシデントになります。監視や制限の不足は「侵害後の被害最小化」を難しくするため、認証方式だけでなく検知・抑止もセットで整備します。
最優先はSMS依存からの脱却で、可能な範囲でパスキー(FIDO2)または認証アプリ(TOTP)へ移行します。フィッシング耐性を重視するなら、パスキー対応サービスではパスキーを優先し、未対応はTOTPで段階的に埋めます。加えて、MFAを強化しても復旧が弱いと突破されるため、バックアップコードのオフライン保管や、予備メールにも同等以上のMFAを必須化します。
キャリア手続きも攻撃対象のため、SIM再発行・番号移転の追加認証や手続き制限(暗証番号、店舗限定等)を可能な限り有効化します。パスワードは使い回しを排除し、長く固有のものをパスワードマネージャーで管理します。ログイン通知、ログイン履歴、セッション管理を標準化し、不審兆候があればパスワード変更、全セッション無効化、MFA方式変更までを即時に実施できる手順に落とし込みます。
企業側の認証基盤は、フィッシング耐性のあるMFAを標準とし、SMSはどうしても代替がない場合の例外扱いにします。例外を許容する場合でも、リスクベース認証、重要操作時の追加認証、端末変更や送金等の高リスクイベント検知を組み合わせます。特に攻撃者は「ログイン」より「復旧」を狙うため、漏洩情報だけで通る本人確認や即時の復旧は避け、複数チャネル確認、クールダウン、オペレーター手順の標準化でソーシャルエンジニアリング耐性を高めます。
大規模漏洩が常態化した現在、SMSは「便利」でも「強固」ではないことを組織の前提にします。移行計画(パスキー/TOTPの優先順位、対象システム、例外基準)と、復旧フローの強化、監視・通知・取引制限による被害最小化を同時に進めることが、現実的かつ効果の高い対策です。
