「二段階認証はSMSで設定してるから大丈夫」——そう思っているなら、この記事を読んでほしい。
2024年12月、FBI・CISAは共同で SMS認証を「非推奨」 と明言した。日本でもデジタル庁がGビズIDのSMS認証を廃止する方針を発表している。世界的に「SMSは安全ではない」という認識が急速に広まっている。
この記事では、なぜSMS認証が危険になったのか、何に乗り換えるべきか、具体的な移行手順まで解説する。
SMS認証はなぜ危険になったのか
SMS認証(SMSで届く6桁のコードを入力する方式)は、長い間「ないよりまし」な二段階認証として広く使われてきた。しかし2025年以降、複数の要因でリスクが無視できないレベルになっている。
SMSが抱える根本的な問題:
- 暗号化されていない ——SMSは平文で送信される。通信経路上で傍受される可能性がある
- SIMスワップ攻撃 ——攻撃者が携帯キャリアに成りすまし、電話番号を奪う。成功すればSMSコードがすべて攻撃者に届く
- SS7プロトコルの脆弱性 ——通信事業者間のネットワークプロトコル自体に既知の脆弱性があり、SMSの傍受が技術的に可能
公的機関の動き:
| 機関 | 内容 |
|---|---|
| FBI / CISA(米国) | SMS認証を「非推奨」と明言。暗号化された認証方法を推奨 |
| デジタル庁(日本) | GビズIDのSMS認証を廃止する方針を発表 |
| NIST SP 800-63B(米国) | SMS認証を「制限付き認証器」に分類。リスク評価を求める |
「二段階認証を設定している」だけでは不十分で、 どの方式を使っているか が重要になっている。
SIMスワップ攻撃の仕組みと実際の被害
SIMスワップは、SMS認証が危険な最大の理由だ。仕組みは単純だが、被害は深刻になる。
攻撃の流れ:
- 攻撃者がターゲットの個人情報(氏名、生年月日、住所など)を入手する(ダークウェブでの購入、SNSからの収集など)
- 携帯キャリアに本人を装って連絡し、「SIMを紛失した」「機種変更した」と申告する
- キャリアが本人確認を突破されると、電話番号が攻撃者のSIMに移される
- 以降、SMS認証コードはすべて攻撃者に届く
- 銀行口座、SNS、メールなどに不正ログインされる
実際の被害事例:
- T-Mobile(米国、2025年3月) ——SIMスワップ被害で 3,300万ドル(約50億円) の仲裁裁定。史上最高額
- 英国全体(2024年) ——SIMスワップ詐欺の報告件数が 前年比1,055%増(289件→約3,000件)
- 日本(2024年) ——SIMスワップを起因とする銀行口座からの不正送金で 約9,000万円 の被害が報告
自分の個人情報がダークウェブに流出していないか心配なら、「ダークウェブに自分の情報が漏れてないか確認する方法」で今すぐチェックできる。電話番号の流出はSIMスワップの第一歩だ。
SMS認証から乗り換えるべき認証方法
SMS認証より安全な選択肢は3つある。
| 方式 | 安全性 | 利便性 | コスト | おすすめ度 |
|---|---|---|---|---|
| 認証アプリ(TOTP) | 高 | 高 | 無料 | 最もバランスが良い |
| ハードウェアキー(FIDO2) | 最高 | 中 | 5,000〜10,000円 | 最高水準のセキュリティ |
| パスキー | 最高 | 最高 | 無料 | 対応サービスが拡大中 |
認証アプリ(TOTP) がほとんどの人にとってベストな選択肢だ。理由:
- 無料で使える
- オフラインで動作する(ネットワーク不要)
- SIMスワップの影響を受けない
- ほぼすべてのサービスが対応している
ハードウェアキー(YubiKeyなど)はフィッシング攻撃に対して完全な耐性があるが、1本5,000〜10,000円の費用がかかる。企業のIT管理者や、特に高いセキュリティが必要な人向けだ。
パスキーについては記事の後半で詳しく解説する。
認証アプリのおすすめと選び方
2026年時点で信頼できる認証アプリを、用途別に整理した。
| アプリ | プラットフォーム | 特徴 | おすすめの人 |
|---|---|---|---|
| Ente Auth | iOS / Android / Web / Desktop | オープンソース、E2E暗号化クラウド同期、Cure53監査済み | プライバシー重視 + 端末間同期が必要 |
| Aegis | Android のみ | オープンソース、完全オフライン、ローカル暗号化バックアップ | Androidでプライバシー最優先 |
| 2FAS | iOS / Android | オープンソース、シンプルなUI、Apple Watch対応 | iPhoneユーザーで使いやすさ重視 |
| Google Authenticator | iOS / Android | 2023年にクラウド同期追加。最も知名度が高い | Google環境メイン・初心者 |
| Microsoft Authenticator | iOS / Android | Microsoft 365との統合が優秀 | 会社でMicrosoft環境を使っている |
選び方のポイント:
- クラウド同期が必要か? ——端末を紛失したときのリカバリーを考えると、E2E暗号化付きのクラウド同期があると安心。Ente Authが最適
- オープンソースか? ——コードが公開されているアプリは、第三者による監査が可能。Ente Auth、Aegis、2FASはすべてオープンソース
- Authyはどうか? ——2024年7月にTwilio(Authyの運営元)が3,300万件の電話番号漏洩を公表した。アプリ自体は動作するが、セキュリティコミュニティでは代替アプリへの移行を推奨する声が多い
主要サービスでSMS認証から切り替える手順
具体的な切り替え手順を、利用者の多いサービスごとに示す。基本的な流れはどのサービスも同じだ。
共通手順:
- 認証アプリをスマホにインストールする
- サービスのセキュリティ設定を開く
- 二段階認証の方法を「SMS」から「認証アプリ」に変更する
- QRコードをスキャンする
- 表示される6桁コードを入力して確認する
- バックアップコードを保存する(端末紛失時の復旧に必須)
サービス別の設定場所:
| サービス | 設定パス |
|---|---|
| Googleアカウント → セキュリティ → 2段階認証プロセス → 認証システムアプリ | |
| Apple ID | 設定 → [自分の名前] → サインインとセキュリティ → 二要素認証 |
| Amazon | アカウントサービス → ログインとセキュリティ → 2段階認証の設定 |
| X(旧Twitter) | 設定 → セキュリティとアカウントアクセス → セキュリティ → 二要素認証 |
| 設定 → アカウントセンター → パスワードとセキュリティ → 二段階認証 | |
| Discord | ユーザー設定 → マイアカウント → 二要素認証を有効化 |
パスワード管理全般を見直したいなら「パスワードが覚えられない?もう覚えなくていい」も参考にしてほしい。
パスキーは2FAを置き換えるのか
パスキー(Passkeys)は、パスワードも二段階認証も不要にする新しい認証方式だ。FIDO2/WebAuthn標準に基づいている。
パスキーの仕組み:
- 公開鍵暗号方式を使う。秘密鍵はデバイスに保存され、サーバーには公開鍵のみ送られる
- ログイン時は生体認証(指紋・顔認証)またはPINで認証する
- フィッシングサイトでは動作しない(ドメインに紐付いているため)
2026年の普及状況:
- Googleは8億以上のアカウントにパスキーを導入済み
- Apple、Microsoft、Amazonなど主要サービスが対応
- 63%の組織が2026年の認証投資としてパスキーを最優先
ただし、パスキーが2FAを完全に置き換えるのはまだ先だ。 理由:
- 対応サービスはまだ限られている(銀行、公共サービスなどは未対応が多い)
- 古いデバイスでは使えない
- サービス側の実装が追いついていない
結論: パスキーに対応しているサービスではパスキーを使い、非対応のサービスでは認証アプリを使う。 これが2026年時点のベストプラクティスだ。
自分のアカウントがすでに不正アクセスされていないか不安なら、「パスワードが漏洩していないか今すぐ確認する方法」でチェックしておこう。
NordVPN のPlus以上のプランに含まれるダークウェブモニタリングを使えば、メールアドレスや電話番号がダークウェブに流出した際に自動で通知を受け取れる。SIMスワップ攻撃の前兆を早期に検知できる。
世界最大級のVPN。高速・安全・使いやすい
- 6,400+サーバー(111カ国)
- 独自プロトコルNordLynx(WireGuardベース)
- Threat Protection Pro(広告・マルウェアブロック)
まとめ
SMS認証は「ないよりまし」だった時代から、「積極的に避けるべき」認証方法に変わった。
- SMS認証は暗号化されておらず、SIMスワップで突破される ——FBI/CISAも非推奨
- 認証アプリに乗り換えるのが最優先 ——おすすめはEnte Auth(クラウド同期+オープンソース+監査済み)
- バックアップコードは必ず保存 ——端末紛失時の生命線
- パスキー対応サービスではパスキーを使う ——2FAすら不要になる最終形
今すぐできることは、いま使っているサービスのセキュリティ設定を開いて、SMS認証を認証アプリに切り替えること。10分もかからない作業で、アカウントの安全性は大きく上がる。
フィッシングメール経由でアカウントが危険にさらされるケースも多い。対処法は「迷惑メールを開いてしまったら?状況別の対処法」を参照してほしい。パスワードの使い回しがクレデンシャルスタッフィング攻撃を招く仕組みは「パスワード使い回しはなぜ危険?攻撃の仕組みと対策」で解説している。スマホの乗っ取りが心配なら「スマホが乗っ取られた?確認方法と今すぐやるべき対処法」もチェックしよう。