犯罪インフラ化する「SMS認証代行」、警察庁での対策を発表

警察庁は4月22日、犯罪インフラ化するSMS認証代行への対策について発表した。

脆弱性と脅威

2021.4.26 Mon 8:05

警察庁は4月22日、犯罪インフラ化するSMS認証代行への対策について発表した。

「SMS認証」は、ショートメッセージサービス（SMS）で利用者の番号に認証コードを通知し当該コードを用いて認証する方式で、通常は本人確認済の携帯電話の番号に当該認証コードが通知され、金融機関等においては、ID・パスワードによる認証に加え、SMS認証を利用者に実施させる「二経路認証」を採用し、なりすまし等による不正認証を防止している。

しかし「SMS認証代行」では、通信事業者とSMS機能付データ通信に係る契約を行い、利用者に当該契約に係る番号を提供、あるいは当該番号に通知された認証コードを利用者に代わって受領し利用者に提供することで、なりすまし等による不正アカウントの設定が可能となる。通信事業者の中には、本人確認をすることなくSMS認証代行と契約することがあり、警察捜査における事後追跡性の確保に支障が出ている。

2020年度サイバーセキュリティ政策会議では報告書にて、通信事業者による契約時の本人確認の徹底や犯罪インフラを提供する悪質事業者の摘発強化を提言、一般社団法人日本IT団体連盟はSMSを用いた二経路認証の抜け道になっているとして契約時の本人確認の提言を行っている。

警察庁では1月に、総務省と連携し一般社団法人テレコムサービス協会MVNO委員会に対し、契約時の確実な本人確認を要請、同委員会では加盟事業者の自主的な取り組みとしてSMS機能付データ通信契約に係わる本人確認を実施することを申し合わせした。また警察庁では、都道府県警察に対し、SMS認証代行を含む犯罪インフラに関し、法令に違反する悪質事業者への取り締まり強化を指示している。