SMS認証
(1)概要
・SMS認証(SMSによる二要素認証)は、利用者の携帯電話番号宛に ワンタイムパスワード(6桁程度の数字) を送信し、それを入力させて本人確認を行う方式です。
・通常のID・パスワードに加えて利用することで、パスワード漏洩時の不正ログインを防ぐ効果があります。
・利用者側の設定もほとんど不要(スマホがあれば利用可能)という利点がある。
(2)料金
・初期費用などはこちらに書かれてある。日本の場合はどうなっているか要調査。1通当たりの価格は、規模によるのかもしれないが、とにかく少なからず費用が発生する。
https://aws.amazon.com/jp/sns/sms-pricing/
・Twitterは、無課金ユーザに対して、SNS認証を廃止した。以下の記事にもあるが、「ツイッターはSMS認証の送信費用を通信事業者に支払っている。」とあります。しかも、「ボット(プログラム)を使って2要素認証のワンタイムパスワードを何度も要求し、送信費用を詐取している」と記事に記載があります。
https://xtech.nikkei.com/atcl/nxt/column/18/00676/030100128/?P=2
(3)事業者側の導入手順
AWSの場合、以下に記載がある。
https://dev.classmethod.jp/articles/sms-send-testmessage/
https://docs.aws.amazon.com/ja_jp/sns/latest/dg/sms_sending-overview.html
(4)セキュリティレベル
・個人の携帯に紐づいていて、メールに送るのに比べ、なりすましが簡単ではない。日本においては、ある程度の高いセキュリティレベルだと思っている。実際にあった事例としては、本人確認書類を偽造してSIMカードを再発行さるなどをしての偽造であり、SMS認証そのもののリスクというよりソーシャルエンジニアリング的な要素があると思う。
・一方、世界的な評価はそれほど高くないようだ。以下の記事でも、「SMS認証の使用は非常に脆弱であるため、米国国立標準技術研究所(NIST)は2016年に推奨認証方法のリストからSMS認証を削除しました。」とあります。
https://www.authsignal.com/blog/articles/why-sms-based-authentication-is-no-longer-enough-for-secure-account-protection
