今日はちょっと真面目なブログを。

皆さん、LINEはお使いですよね？中にはViberやKakaoも併用して利用している方もいらっしゃると思います。
また、先日クロネコヤマトとの提携が発表されたメルカリ、EC大手楽天さんが運営しているラクマ、ゴルフに特化したゴルフポットなどのフリマアプリをご利用になっている方も多いのではないかと思います。

これらのアプリ・サービスに共通するのはSMSを利用した本人認証を行っていることです。
メッセージングアプリ、CtoCアプリの他に、ポイントサイトや、DropBoxなどのストレージサービス、またFacebookやGREE、mixiなどのSNSもSMS認証を利用しています。 

なぜこれらのアプリでSMS認証がよく利用されているのでしょうか？そもそもなぜSMS認証が必要なのでしょうか？
それは、SMS認証は手軽に本人性を担保でき、他人によるなりすましや多重アカウント登録を防ぐことができるからです。 
多要素認証、2要素認証などと呼ばれます。

メッセージングアプリを他人に使われる（LINEのなりすまし問題は、実はPC側のアプリの脆弱性が問題でした）、CtoCで勝手にものを買われる、ポイントサイトでたくさんIDを作ってポイントを荒稼ぎするなどの迷惑行為を防ぐためにSMSが一役買っています。

多要素認証のレベルは、独立行政法人産業技術総合研究所によって4段階に定義されています。

レベル1：ID/PWのみ
レベル2：ID/PW+もう一要素
レベル3：ID/PW+物理媒体の保有を前提とした認証
レベル4：ID/PW+物理媒体の保有を第三者が保証することを前提とした認証 

・・・・難しいですね。簡単に例を挙げると

レベル1：ID/PWのみ
レベル2：ID/PW+秘密のパスワードや本人の生年月日など
レベル3：ID/PW+ワンタイムパスワードやSMS認証など
レベル4：ID/PW+事前に登録された指紋や網膜認証やIC免許証など
 
という感じです。なので、サービス提供者と対面しないWebサービスを利用するにおいて、レベル4の認証はほぼ実現が不可能なため、SMS認証は実現可能な多要素認証のなかでも最もセキュリティレベルが高いものだという事になります。

サーバーとワンタイムパスワードが同期するトークンデバイスや、SMS認証でパスワードが届く携帯電話は、本人が必ず持っている、ということが保証できないので、レベル3ということです。落っことすかもしれませんし。

また、SMS認証は、サービス運営者が本人の一意性を担保するのにも有効です。本人の一意性とは同じサービス内で個人が複数のアカウントを持たない、という意味です。

例えば

LINEでいくつもアカウントを持てたら・・・
　→SNSがそうなったように出会い系のサクラの温床になる

ポイントサイトでいくつもアカウントを持てたら・・・
　→「新規入会で❍❍ポイントプレゼント！」というのに１人で何回も応募できて、運営元が余計なポイントを払わなくてはいけなくなる

というようにいろいろと不都合なことが起きてきてしまいます。

でも「携帯電話が2個あったらSMS認証意味無いじゃん」と思った人もいませんか？
はい、そのとおりです。1人で2台携帯電話を持っていれば、LINEのアカウント2個作れます。実際僕も現在で2台、多い時で5台の携帯を持っていましたので、いろんな悪事が出来てしまうというわけです。

ですが、ここからがあまり皆さんがご存じないかもしれないお話なのですが、日本では携帯電話番号は総務省が管轄をしており、携帯電話不正防止法で携帯電話を個人に付与する場合は、必ず身分証明書の提示が必要になると定められてます。要は、090-xxxx-xxxxの番号の人が悪さをしている、ということになれば、番号を利用している個人が特定できるということです。

特別な物理媒体を使用せず（携帯はみなさんほとんど持ってますしね）、一意性の担保によるサービス側の安全と、個人のセキュリティが高いレベルで守られるのがSMS認証なのです。

なので、こんなに使われるようになったのですね。

話は少しそれますが、INSTが代理店を務めるnexmoは、SMS認証の利用実績No.1のSMSサービスです。多くのメッセージングアプリや、CtoCサービスでもご利用を頂いております。

今後、ECサイトなどにも導入が進んでいく可能性があるSMS認証、ご導入のご相談はぜひINSTまでお問合せください。

それでは。

Kosuke