銀行やSNSのログインで使うSMSワンタイムコードは、フィッシング・SIMスワップ・スマホのマルウェアで詐取されることがあり、「SMS認証だから安全」とは言い切れません。6桁の数字が携帯電話に届くだけの仕組みは、パスワードだけの認証より確実に強い一方で、コードが第三者の手に渡る経路がいくつも存在します。この記事では、SMS認証が突破される三つの代表的な手口と、今日から切り替えられる具体的な守り方、そして万一乗っ取られたときの対処を順に説明します。
コードが盗まれる主な手口
1. 偽サイトでコードを即時入力させる中間者型
もっとも多いのが、本物そっくりの偽ログイン画面を使う手口です。攻撃者は「不正アクセスを検知しました」などのSMSやメールでリンクを踏ませ、偽サイトにIDとパスワードを入力させます。入力された情報は攻撃者の手元でリアルタイムに本物のサイトへ転送され、その結果としてあなたの本物の携帯にSMSコードが届きます。偽サイトが続けて「認証コードを入力してください」と表示するので、被害者は疑わずに6桁を打ち込み、攻撃者はそれを数十秒以内に本物のサイトへ入力してログインを完成させます。コード自体は正規に発行されたものなので、届いたSMSを見ても不審点に気づきにくいのが厄介な点です。
2. SIMスワップで番号ごと奪う
SIMスワップは、攻撃者があなたになりすまして携帯会社に「機種変更」や「SIM再発行」を申請し、電話番号そのものを自分の端末へ移してしまう手口です。成功すると、以後のSMSコードや着信はすべて攻撃者の端末に届き、あなたのスマホは突然圏外になったり「SIMが無効です」と表示されたりします。本人確認に必要な生年月日や住所は、SNSの投稿や過去の情報漏えいから集められることがあり、番号を奪われた瞬間にSMS認証は完全に無力化されます。この手口の詳しい流れと予兆はSIMスワップ詐欺の手口と対策の解説で確認できます。
3. 不正アプリでSMSを盗み見る
スマホにインストールされた不正アプリが、SMSの読み取り権限を悪用してコードを外部へ送信するケースもあります。宅配便の不在通知や料金未納を装ったSMS(スミッシング)からリンクを踏ませ、Android端末に「配送アプリ」などと称した不正アプリを入れさせる手口が典型です。いったんインストールされると、届いたワンタイムコードを画面に表示させることなく攻撃者へ横流しし、被害者が気づかないうちに認証を突破されます。身に覚えのない番号からのSMSやアプリ要求は、電話番号・SMS送信元の検索で正体を調べてから判断してください。
今すぐできる対策
最も効果的なのは、SMS認証に頼らない認証方式へ切り替えることです。以下を上から順に検討してください。
- 認証アプリ(ワンタイムパスワード生成)やパスキーを優先する。Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリは、コードを端末内で生成するためSMSのように通信経路で盗まれません。さらに新しいパスキーは、指紋や顔認証と端末に保存された鍵でログインする仕組みで、そもそも入力する数字が存在しないため中間者型のフィッシングに原理的に強いのが特長です。主要なサービスの設定画面で「二段階認証」や「セキュリティ」を開き、SMSから認証アプリ・パスキーへ変更しましょう。
- コードは誰にも教えない。正規の事業者が電話やチャットで「認証コードを読み上げてください」と求めることはありません。SMS本文にも「このコードは誰にも教えないでください」と書かれています。サポートや警察を名乗る相手であっても、コードを聞かれたら詐欺と判断して構いません。
- コード送信直後に来る電話やSMSを疑う。攻撃者はコードを引き出すため、送信のタイミングに合わせて「本人確認のため今届いた番号を教えて」と電話をかけてきます。コードが届いた直後の着信や催促は、手口の一部である可能性が高いと考えてください。かかってきた番号に不審を感じたら、その場で応じず送信元番号の検索で評判を確かめます。
- 公式アプリ・正規サイトからのみログインする。メールやSMSのリンクから入るのではなく、ブックマークした正規URLか公式アプリを自分で開いてログインする習慣をつければ、偽サイトへの入力そのものを避けられます。カード情報を狙う類似の手口はクレジットカード不正利用の最新手口もあわせて把握しておくと見分けやすくなります。
乗っ取られたら
SMS認証を突破されたと感じたら、被害の拡大を止めるために次の順で動いてください。
- パスワードを変更する。まず該当サービスのパスワードを、他サービスと使い回していない新しいものに変更します。同じパスワードを使っている別サービスがあれば、それらもすべて変更してください。可能なら同時に認証アプリやパスキーへ切り替え、SMS認証を外します。
- サービスの不正ログイン履歴を確認する。多くのサービスには「ログイン履歴」「アクティブなセッション」を表示する機能があります。見覚えのない端末や地域からのログインがあれば、その場でログアウト(セッションの無効化)を実行し、登録メールアドレスや電話番号、送金先などが勝手に書き換えられていないかも点検します。SIMスワップが疑われる場合は、携帯電話会社にもすぐ連絡して回線を停止・復旧させてください。
- フィッシング対策協議会へ報告する。偽サイトのURLや不審なSMSの内容は、被害メモの残し方を参考に日時・番号・スクリーンショットを記録したうえで、フィッシング対策協議会(info@antiphishing.jp、公式サイトから報告可能)へ情報提供します。報告は同じ手口の注意喚起やサイト閉鎖につながり、次の被害を防ぎます。
- 警察相談専用電話「#9110」に相談する。金銭被害が出た、または出そうな場合は、警察相談専用電話#9110へ連絡し、状況を伝えて助言を受けてください。実際に不正送金や不正利用の被害が確定しているときは、各サービスの補償窓口や金融機関への連絡も並行して進めます。
SMS認証は「あれば便利な追加の壁」であって、絶対の安全ではありません。認証アプリやパスキーへ一段引き上げ、コードは誰にも渡さないという原則を守れば、ここで挙げた三つの手口の大半は未然に防げます。