認証コードがSMSで携帯電話に送られてくる仕組みは、銀行やECサイト、SNSなど、多くのサービスで本人確認の手段として広く利用されています。ユーザーにとっては、アプリのインストールも不要で、ほぼ全員が使える携帯電話番号に届くため、とても便利な仕組みです。

 

しかし、この便利な認証方法には意外な落とし穴があることをご存知でしょうか。SMSはインターネットを通じて送られるのではなく、携帯電話会社の通信網を経由します。その基盤となっているのが SS7（シグナリングシステム7） と呼ばれるプロトコルです。

 

このSS7は1970年代に設計された古い仕組みで、当時は「通信事業者同士は信用できる」という前提に基づいていました。そのため現代的なセキュリティ対策が十分に組み込まれておらず、電話番号さえ分かれば通信を不正に傍受したり、SMSを転送させたりできる可能性があると指摘されています。実際に海外では、SMSを使った銀行認証が悪用され、口座への不正アクセスが発生した事例も報告されています。

 

多くの人は「SMSは電話会社の仕組みだから安全」と思い込んでいますが、必ずしもそうではありません。私たちが日常的に利用しているSMS認証には、このような構造的な弱点が潜んでいるという事実を知っておくことが重要だと思います。