「二段階認証はSMSで設定してるから大丈夫」——そう思っているなら、この記事を読んでほしい。
2024年12月、FBI・CISAは共同でモバイル通信のベストプラクティスを公開し、「SMSを二要素認証に使うな」と明記した。日本でもGビズIDのSMS認証が2025年12月に廃止された。世界的に「SMSは安全ではない」という認識が急速に広まっている。
この記事では、なぜSMS認証が危険になったのか、何に乗り換えるべきか、具体的な移行手順まで解説する。
SMS認証はなぜ危険になったのか
SMS認証(SMSで届く6桁のコードを入力する方式)は、長い間「ないよりまし」な二段階認証として広く使われてきた。しかし2025年以降、複数の要因でリスクが無視できないレベルになっている。
SMSが抱える根本的な問題:
- 暗号化されていない ——SMSは平文で送信される。通信経路上で傍受される可能性がある
- SIMスワップ攻撃 ——攻撃者が携帯キャリアに成りすまし、電話番号を奪う。成功すればSMSコードがすべて攻撃者に届く
- SS7プロトコルの脆弱性 ——通信事業者間のネットワークプロトコル自体に既知の脆弱性があり、SMSの傍受が技術的に可能
公的機関の動き:
| 機関 | 内容 |
|---|---|
| FBI / CISA(米国) | 「SMSを二要素認証に使うな」と明記。暗号化された認証方法を推奨 |
| デジタル庁(日本) | GビズIDのSMS認証を2025年12月に廃止。アプリ認証・メールOTPに移行 |
| NIST SP 800-63B-4(米国) | SMS認証を「制限付き認証器」に分類。2025年7月に最終版公開 |
「二段階認証を設定している」だけでは不十分で、 どの方式を使っているか が重要になっている。
SIMスワップ攻撃の仕組みと実際の被害
SIMスワップは、SMS認証が危険な最大の理由だ。仕組みは単純だが、被害は深刻になる。
攻撃の流れ:
- 攻撃者がターゲットの個人情報(氏名、生年月日、住所など)を入手する(ダークウェブでの購入、SNSからの収集など)
- 携帯キャリアに本人を装って連絡し、「SIMを紛失した」「機種変更した」と申告する
- キャリアが本人確認を突破されると、電話番号が攻撃者のSIMに移される
- 以降、SMS認証コードはすべて攻撃者に届く
- 銀行口座、SNS、メールなどに不正ログインされる
実際の被害事例:
- T-Mobile(米国、2025年3月) ——SIMスワップ被害で 3,300万ドル(約50億円) の仲裁裁定。1,500枚以上のBitcoinが盗まれた事件
- 英国全体(2024年) ——Cifasの報告によると、SIMスワップ詐欺件数が 前年比1,055%増(289件→2,900件超)
- 日本(2022〜2023年) ——SIMスワップを起因とする不正送金で約25人が被害、合計 9,000万円以上 が奪われた。2023年以降、警察庁と総務省が携帯キャリアに本人確認強化を要請し被害は減少傾向
自分の個人情報がダークウェブに流出していないか心配なら、「ダークウェブに自分の情報が漏れてないか確認する方法」で今すぐチェックできる。電話番号の流出はSIMスワップの第一歩だ。
SMS認証から乗り換えるべき認証方法
SMS認証より安全な選択肢は3つある。
| 方式 | 安全性 | 利便性 | コスト | おすすめ度 |
|---|---|---|---|---|
| 認証アプリ(TOTP) | 高 | 高 | 無料 | 最もバランスが良い |
| ハードウェアキー(FIDO2) | 最高 | 中 | 5,000〜10,000円 | 最高水準のセキュリティ |
| パスキー | 最高 | 最高 | 無料 | 対応サービスが拡大中 |
認証アプリ(TOTP) がほとんどの人にとってベストな選択肢だ。理由:
- 無料で使える
- オフラインで動作する(ネットワーク不要)
- SIMスワップの影響を受けない
- ほぼすべてのサービスが対応している
ハードウェアキー(YubiKeyなど)はフィッシング攻撃に対して完全な耐性があるが、1本5,000〜10,000円の費用がかかる。企業のIT管理者や、特に高いセキュリティが必要な人向けだ。
パスキーについては記事の後半で詳しく解説する。
認証アプリのおすすめと選び方
2026年時点で信頼できる認証アプリを、用途別に整理した。
| アプリ | プラットフォーム | 特徴 | おすすめの人 |
|---|---|---|---|
| Ente Auth | iOS / Android / Web / Desktop | オープンソース、E2E暗号化クラウド同期、Cure53監査済み | プライバシー重視 + 端末間同期が必要 |
| Aegis | Android のみ | オープンソース、完全オフライン、ローカル暗号化バックアップ | Androidでプライバシー最優先 |
| 2FAS | iOS / Android | オープンソース、シンプルなUI、Apple Watch対応 | iPhoneユーザーで使いやすさ重視 |
| Google Authenticator | iOS / Android | 2023年にクラウド同期追加。最も知名度が高い | Google環境メイン・初心者 |
| Microsoft Authenticator | iOS / Android | Microsoft 365との統合が優秀 | 会社でMicrosoft環境を使っている |
選び方のポイント:
- クラウド同期が必要か? ——端末を紛失したときのリカバリーを考えると、E2E暗号化付きのクラウド同期があると安心。Ente Authが最適
- オープンソースか? ——コードが公開されているアプリは、第三者による監査が可能。Ente Auth、Aegis、2FASはすべてオープンソース
- Authyはどうか? ——2024年7月にTwilio(Authyの運営元)が3,300万件の電話番号漏洩を公表した。アプリ自体は動作するが、セキュリティコミュニティでは代替アプリへの移行を推奨する声が多い
主要サービスでSMS認証から切り替える手順
具体的な切り替え手順を、利用者の多いサービスごとに示す。基本的な流れはどのサービスも同じだ。
共通手順:
- 認証アプリをスマホにインストールする
- サービスのセキュリティ設定を開く
- 二段階認証の方法を「SMS」から「認証アプリ」に変更する
- QRコードをスキャンする
- 表示される6桁コードを入力して確認する
- バックアップコードを保存する(端末紛失時の復旧に必須)
サービス別の設定場所:
| サービス | 設定パス |
|---|---|
| Googleアカウント → セキュリティ → 2段階認証プロセス → 認証システムアプリ | |
| Apple ID | 設定 → [自分の名前] → サインインとセキュリティ → 二要素認証 |
| Amazon | アカウントサービス → ログインとセキュリティ → 2段階認証の設定 |
| X(旧Twitter) | 設定 → セキュリティとアカウントアクセス → セキュリティ → 二要素認証 |
| 設定 → アカウントセンター → パスワードとセキュリティ → 二段階認証 | |
| Discord | ユーザー設定 → マイアカウント → 二要素認証を有効化 |
パスワード管理全般を見直したいなら「パスワードが覚えられない?もう覚えなくていい」も参考にしてほしい。
パスキーは2FAを置き換えるのか
パスキー(Passkeys)は、パスワードも二段階認証も不要にする新しい認証方式だ。FIDO2/WebAuthn標準に基づいている。
パスキーの仕組み:
- 公開鍵暗号方式を使う。秘密鍵はデバイスに保存され、サーバーには公開鍵のみ送られる
- ログイン時は生体認証(指紋・顔認証)またはPINで認証する
- フィッシングサイトでは動作しない(ドメインに紐付いているため)
2026年の普及状況:
- Googleは2024年4月時点で4億以上のアカウントがパスキーを利用中で、その後も拡大が続いている
- Apple、Microsoft、Amazonなど主要サービスが対応
- FIDOアライアンスの調査では、63%の組織が認証投資としてパスキーを最優先に挙げている(2025年10月)
ただし、パスキーが2FAを完全に置き換えるのはまだ先だ。 理由:
- 対応サービスはまだ限られている(銀行、公共サービスなどは未対応が多い)
- 古いデバイスでは使えない
- サービス側の実装が追いついていない
結論: パスキーに対応しているサービスではパスキーを使い、非対応のサービスでは認証アプリを使う。 これが2026年時点のベストプラクティスだ。
自分のアカウントがすでに不正アクセスされていないか不安なら、「パスワードが漏洩していないか今すぐ確認する方法」でチェックしておこう。
NordVPN のPlus以上のプランに含まれるダークウェブモニタリングを使えば、メールアドレスや電話番号がダークウェブに流出した際に自動で通知を受け取れる。SIMスワップ攻撃の前兆を早期に検知できる。
世界最大級のVPN。高速・安全・使いやすい
- 6,400+サーバー(111カ国)
- 独自プロトコルNordLynx(WireGuardベース)
- Threat Protection Pro(広告・マルウェアブロック)
よくある質問
SMS認証でも、ないよりはましですか?
ましではある。SMS認証でも、流出したパスワードだけで不正ログインを試みる自動化攻撃(クレデンシャルスタッフィング)はブロックできる。ただし、SIMスワップのような標的型攻撃には無力だ。「鍵はかけているけど窓が開いている」状態に近い。認証アプリへの乗り換えを優先しよう。
銀行がSMS認証しか対応していない場合はどうすればいい?
日本の銀行はまだSMS認証のみのところが多い。その場合はSMS認証を有効にしておく(パスワードだけよりは安全)。その上で、ログイン通知の設定、振込限度額の引き下げ、ワンタイムパスワードカードの併用など、銀行側が提供する追加のセキュリティ機能をすべて有効にしておくことが重要だ。
スマホを紛失したら認証アプリのコードはどうなる?
だからこそバックアップコードが重要になる。2FA設定時に表示されるリカバリーコードをパスワードマネージャーに保存するか、紙に書いて安全な場所に保管しておこう。Ente AuthのようにE2E暗号化のクラウド同期があるアプリなら、新しい端末で復元できる。
パスキーは認証アプリより安全?
安全だ。パスキーは公開鍵暗号方式をドメインに紐付けて使うため、フィッシングサイトでは物理的に動作しない。認証アプリのTOTPコードは偽サイトに入力してしまうリスクがある。パスキー対応サービスではパスキーを使い、非対応サービスでは認証アプリを使うのがベストだ。
VPNはSIMスワップ対策になる?
直接的にはならない。SIMスワップは携帯キャリアに対する攻撃であり、インターネット接続の問題ではない。ただし、VPNはSIMスワップの前段階である個人情報収集を防ぐ効果がある。フリーWi-Fiで暗号化されていない通信を傍受し、社会工学に使う個人情報を集める手口は実際に存在する。
Google Authenticatorのクラウド同期は安全?
Google Authenticatorは2023年にクラウド同期を追加したが、当初はE2E暗号化が未実装だった。その後暗号化は追加されたものの、独立した第三者監査は行われていない。最大限のプライバシーを求めるならEnte Authの監査済みE2E暗号化が確実だ。ただし、Google AuthenticatorでもSMS認証よりは圧倒的に安全。
SIMスワップ攻撃から今すぐ身を守るには?
まず携帯キャリアに連絡して、SIMロックPINやMNP転出時の追加認証を設定する。次に、最も重要なアカウント(メール、銀行)のSMS認証を認証アプリに切り替える。Have I Been Pwnedで自分のメールアドレスが漏洩していないかチェックし、ログイン通知も有効にしておこう。
まとめ
SMS認証は「ないよりまし」だった時代から、「積極的に避けるべき」認証方法に変わった。
- SMS認証は暗号化されておらず、SIMスワップで突破される ——FBI/CISAも非推奨
- 認証アプリに乗り換えるのが最優先 ——おすすめはEnte Auth(クラウド同期+オープンソース+監査済み)
- バックアップコードは必ず保存 ——端末紛失時の生命線
- パスキー対応サービスではパスキーを使う ——2FAすら不要になる最終形
今すぐできることは、いま使っているサービスのセキュリティ設定を開いて、SMS認証を認証アプリに切り替えること。10分もかからない作業で、アカウントの安全性は大きく上がる。
フィッシングメール経由でアカウントが危険にさらされるケースも多い。対処法は「迷惑メールを開いてしまったら?状況別の対処法」を参照してほしい。パスワードの使い回しがクレデンシャルスタッフィング攻撃を招く仕組みは「パスワード使い回しはなぜ危険?攻撃の仕組みと対策」で解説している。スマホの乗っ取りが心配なら「スマホが乗っ取られた?確認方法と今すぐやるべき対処法」もチェックしよう。SNSアカウントがすでに乗っ取られてしまった場合は「SNSアカウントが乗っ取られた?復旧手順」を参照してほしい。