「ネット上の知人に携帯番号を聞かれ、その携帯番号宛に届いたSMSの“●桁の英数字”を 伝えた後、連絡がとれなくなった。多額の請求や悪用されたりしないだろうか？」

1年に数回、こんな問合せを受けることがあります。

「安心してください！携帯番号宛に届いた“●桁の英数字”を知られただけで、多額な請求をされることはありません。 しかし、迷惑電話がかかってきたり、自分が知らない所で番号を登録されたりするかもしれませんので、今後は教えないで下さい。」

SMSで届いた●桁の英数字の正体

SMSで届いた“●桁の英数字”の正体とは、スマホアプリダウンロード時に行われるアプリ認証 の「認証コード」のことで、ここ数年、アプリ認証に「SMS認証」を採用する企業が増えています。

理由はいたってシンプルで、「SMS＝携帯番号≒1人1台」という特徴を利用することで、 「認証コード」の通知手段としてだけではなく、1人のユーザー(携帯番号)が“複数アカウント”を作成できないように制御（登録済みの携帯番号へはSMS送信しない等）することも可能なためです。

特にポイントやインセンティブを獲得するようなアプリ、キャンペーン等の場合は、 1ユーザーが複数アカウントを利用して、何度も獲得できてしまわないように、 “携帯番号”をユーザー識別する「キー」の１つとして導入するケースが増えています。

「認証コード」の通知手段としては、これまでは“eメールアドレス”が一般的でしたが、 いわゆるフリーメール(WEBメール)では、1人が複数のメールアドレスを生成できてしまいますので、それで個人を識別することは困難です。

そこで、お客様を識別でき、なおかつ流用されにくい“携帯番号”が有効となるのです。

仮に、他人の“携帯番号”を使って登録しようとしても、その携帯(番号)宛にしか「認証コード」が届きませんので、よほどの間柄でなければ届いた「認証コード」を知ることはできません。

冒頭の件は、アプリ認証用の「認証コード」を教えてしまった例ですが、電話番号は「クレジットカード番号」とは異なり、電話番号だけで決済できるワケではありませんので、携帯電話そのものを盗まれないかぎり、多額の請求が発生することはありません。

そもそもSMSのアドレスである携帯番号は、電話番号なので、eメールアドレスのように自由に 発信元(電話番号)を変えたり、成りすましたり、生成したりできません。また、悪いことをしようとしても、携帯電話の契約があるので、足がつきやすいのです。

そんなワケで、スマホの増加→アプリの増加→SMS認証の利用は今後も増えていくものと思われます。

セキュリティ強化の動きに対応する企業が増加　金融機関等のSMS認証の導入が進む

昨年夏以降、上記「アプリ認証」と同様に、問合せが増えているのが、ログイン時や送金時等のSMSによる「ワンタイムパスワード発行」です。

警察庁、金融庁等からも不正送金対策として「2要素認証」を実施するように各金融機関へ 通達がありました。これまでの「ID／パスワード」等のユーザー認証に加えて、 もう1段階、“認証”方式を組み合わせて、セキュリティを強化しなさいということです。

これまでは「乱数表」や「トークン」を使って、ワンタイムパスワードを発行・入力する という方式がとられていましたが、ネットユーザーの増加に伴い、「トークン」等の資産(備品)管理や維持コストが負担となってきました。

すでにSMSによる「ワンタイムパスワード発行」を導入されている企業も多く、金融機関だけでなく、様々な業界でセキュリティ強化の一環としてコンプライアンスを重視する企業にも広まっていくと見られています。

「“SMS”ってそもそも安全なんだっけ？」「ウィルスは？」「フィッシングは？」等と疑問に 思われている方も多いと思いますが、“ガラパゴス”と表現される日本のSMS市場が、海外とは異なり、非常にセキュアな環境である現状等についても、今後、本コラムや、セミナー等でお伝えしていきたいと思います。