NCDC テックブログ
📞

SMS送信の仕組みと2段階認証で使われる理由

K
に公開
SMS
idea

はじめに

SMSは、電話番号を指定してメッセージを送る技術です。Short Message Serviceの略称となります。
昨今はアカウントにおけるセキュリティ強化のため、2段階認証(MFA)が導入されているサービスも多くなっています。SMSは、2段階認証においてもよく用いられている方法です。

この記事では、SMSが送信できる仕組みについて取り上げます。また、SMSがなぜ2段階認証で用いられているのかを記述していきます。

どのように送信されるのか

SMSの送受信に関わるのは3者です。
1つ目は送信サービス、2つ目はSMSC、3つ目は送信先の電話番号を持つ受信デバイスです。

1. 送信側からSMSCに送る

まずはモバイル端末や送信サービスにて、SMSで送りたいテキストを用意します。
電話番号を指定して送信すると、SMSCという場所にメッセージが送られます。

SMSCは、SMSメッセージを集めて処理するセンターサーバーで、Short Message Service Centerの略称となります。
Docomo・au・Softbankなどの各社が、自社のSMSCを保有しています。

モバイル端末から直接SMSを送信する場合は、これらのSMSCにメッセージが届きます。
AWSなどのクラウドサービス経由でSMSを送る場合、クラウドサービスが契約している企業のうち、適切なSMSCが送信対象となります。

また、モバイル端末からの送信は電話回線ですが、クラウドサービスからの送信はインターネット回線です。

2. SMSCから受信側に送る

SMSCは、受信側の電波状況などを確認して、通信可能なタイミングでメッセージを送ります。
これにより、受信側は送信されたメッセージを確認できるようになります。

メッセージがSMSCにどのように送られたかによらず、ここでの通信は電話回線経由となります。

なぜ2段階認証で用いられるのか

SMSは、2段階認証にてよく利用される方法となっています。
アカウントのログイン時に、登録済みの電話番号にSMSメッセージを送信し、記載されているワンタイムパスワードを入力することで安全な認証を行う方法です。

2025年(令和7)の総務省情報通信白書によると、日本国内のモバイル端末の保有状況は87%に達しています。
スマートフォン以外の保有も16.8%含まれていますが、SMSの受信はフィーチャーフォンでも可能です。
このため、多くの方が簡単にワンタイムパスワードを受け取れる手段として用いられています。

2段階認証の手段は、他にもいくつか存在します。
ここではWebサービスの2段階認証で用いられることの多い認証アプリ・メールと比較してみます。下記の表は主観に基づいています。

手段 物理的制約 設定しやすさ よくあるユースケース
SMS △(心理的側面含む) セキュリティレベルを上げつつ、比較的設定しやすい方法を採用したい
認証アプリ 設定に手間がかかっても、セキュリティレベルの高い方法を採用したい
メール ユーザーへの負荷が少ない方法を採用したい

認証アプリ

認証アプリによる2段階認証では、あらかじめデバイスに認証アプリをインストールします。そして認証アプリ上で、サービスの提示するQRコード読み取りなどを行うことで、専用のワンタイムパスワードが生成されるようになります。
このワンタイムパスワードはごく短時間で有効期限が切れるため、他の方法よりセキュリティが高いものとなります。

認証アプリのデメリットは、設定が複雑であるという点です。認証可能な状態にたどり着くまで、一定のITリテラシーが必要ともいえます。
このため、ビジネスツールなどセキュリティの担保が特に重要となるサービスで用いられているケースが多いです。

メール

メールによる2段階認証では、登録したメールアドレスにワンタイムパスワードが送信されます。一定の有効期限が経過すると、ワンタイムパスワードは利用できなくなります。
SMSと同様のことを、別の連絡手段で実現しているといえるでしょう。

SMSとの違いとして、メールアドレス経由のほうが複数のデバイスにて確認がしやすいという点が挙げられます。
登録されたメールアドレスに対して、Webからメールサービスにログインすれば確認が可能であるためです。

この確認のしやすさは利便性が高くなる反面、セキュリティの観点から考えると別の人間がログインしやすくなると捉えることができます。
電話番号の場合、SIMカードを特定のデバイスに紐づけて利用するため、デバイスが手元になければワンタイムパスワードが見れません。この物理的制約が、セキュリティの向上に繋がります。

ただし諸事情で電話番号が登録できなかったり、サービスに安易に電話番号を登録することに拒否感を覚える人もいるでしょう。
このため、メールアドレスによる2段階認証をメインとして、電話番号をアカウントの回復手段として登録するよう推奨するサービスもあります。

おわりに

SMSは、SMSCを通して電話回線でメッセージを送るサービスでした。
2段階認証の手段としてよく使われていますが、認証アプリやメールアドレス経由など、他の手段と比較検討したうえで用いることが推奨されます。
SMSの特性を考慮し、適切なセキュリティの向上に活かせると良さそうです。

参考

https://aws.amazon.com/jp/what-is/sms/
https://docs.aws.amazon.com/ja_jp/sms-voice/latest/userguide/what-is-sms.html
https://biz.kddi.com/content/column/smartwork/what-is-sms/

NCDC テックブログ
NCDC テックブログ

NCDC株式会社( ncdc.co.jp/ )のテックブログです。 主にエンジニアチームのメンバーが投稿します。 募集中のエンジニアのポジションや、採用している技術スタックの紹介などはこちら( github.com/ncdcdev/recruitment )をご覧ください!

Discussion