SMSのセキュリティは高い？企業向け配信サービスの選び方

SMSは携帯電話番号を用いた認証システムとして広く利用されていますが、通信の暗号化やスミッシング詐欺といった特有のリスクも存在します。

「お客様に変なメールが届いたりしないか？」 「個人情報の扱いは大丈夫なのか？」 「セキュリティリスクがあるなら、許可は出せない」

企業がビジネスでSMSを使う場合、セキュリティへの配慮が重要です。また、セキュリティに配慮したサービスでなければ、お客様へ届かないこともあります。

本記事では、SMSが安全とされる構造的な理由と、企業担当者が把握しておくべきリスクの実態、そして他サービスとの違いについて解説します。セキュリティポリシーに厳しい企業でも安心して導入できるサービスの選び方も紹介しますので、ぜひ参考にしてください。

＞＞金融業界にも導入されるセキュリティ性の高いSMS配信サービスMico SMS/RCSはこちら

SMSのセキュリティが安全と言われる理由

SMSは以下の理由から利用者にとってセキュリティ性が高く、安全と言われています。

• SIM契約に身分証明が求められる
• キャリアの「迷惑SMSブロック」機能がある
• 他の端末ではメッセージを受信できない

SIM契約に身分証明が求められる

SMSを利用するには、キャリアとの契約時に厳格な本人確認（KYC）が必要です。日本では「携帯音声通信事業者による契約者等の本人確認等に関する法律」により、身分証明書の提示が義務付けられています。

そのため、フリーメールやSNSアカウントのように匿名で大量に作成することが極めて困難です。この「個人と電話番号の強固な紐づけ」が、SMSが本人確認（SMS認証）などで信頼される最大の根拠となっています。

他の端末ではメッセージを受信できない

SMSは、電話番号情報が書き込まれた「SIMカード」が挿入されている端末でしか受信できません。メールやチャットアプリのように、IDとパスワードさえあれば別のPCやタブレットからログインして盗み見る、といった行為が構造上不可能です。

万が一、ログインIDやパスワードが流出したとしても、物理的な端末（SIM）が手元になければ認証コードを確認できないため、第三者による不正アクセスの防波堤として機能します。

なぜ企業のSMS配信でセキュリティが重要視されるのか？

SMSは企業にとってほぼ確実にメッセージが届く手段です。しかし、近年SMSを使った詐欺などが発生し、セキュリティに対する課題が浮き彫りになっています。

通信が暗号化されていない

SMSの通信規格は古く、メールや最新のチャットアプリのような「エンドツーエンド暗号化（E2EE）」が完全には実装されていません。通信経路上で一時的に平文（暗号化されていない状態）になる箇所が存在する可能性があります。

そのため、クレジットカード番号やマイナンバーといった「極めて機密性の高い個人情報」をSMS本文に直接記載することは推奨されません。

急増するスミッシング詐欺

スミッシングとは、実在する企業（宅配業者や金融機関など）を装ってSMSを送りつけ、偽サイトへ誘導して個人情報を盗む手口です。電話番号だけで送信できるSMSの穴を狙い、何らかの手法で得た名簿に詐欺SMSを配信しています。

ここで企業が恐れるべき最大のリスクは、「自社になりすまされること」だけではありません。「自社が選んだ格安配信サービスが、実はスパム業者が利用しているルートと同じものを使っていた」というケースです。

「この会社は怪しい」と見なされ、ブランドイメージを損なうリスクが発生します。

SIMスワップ（SIMハイジャック）の脅威

SIMスワップとは、悪意ある第三者が偽造身分証などを用いてキャリアショップ等でSIMカードを再発行し、電話番号を乗っ取る手口です。これが成功すると、他人の端末でSMS認証コードを受信できるようになり、銀行口座やサービスへの不正ログインを許してしまうリスクがあります。

これはSMS自体の技術的な欠陥ではありませんが、メッセージを送る側の対策としては、「SMS認証単体ではなく、生体認証などを組み合わせる（多要素認証）」ことや、不審なアクセスを検知する体制強化が求められます。

通信キャリア（docomo、au、SoftBankなど）による規制強化

国内の主要携帯キャリアには、セキュリティ対策として「迷惑SMSブロック」機能があります。迷惑SMSブロック機能とは、詐欺やスパムの可能性が高いSMSを自動的に判定し、ユーザーの端末に届く前に遮断する仕組みです。

セキュリティ対策が甘い、あるいは信頼性の低いルートを経由したSMSは、キャリア側のフィルタで「迷惑メール」と判定され、お客様のスマホに着信する前にブロックされてしまうことがあります。

SMSのセキュリティ性を活かした導入例

SMSの高いセキュリティ性は、さまざまな用途で活用できます。ここでは、実際の活用例について、3つ紹介します。

• 本人確認（二段階認証・SMS認証）
• 重要なお知らせ（督促・決済通知）
• 不正ログイン・なりすまし防止への活用

本人確認（二段階認証・SMS認証）

Webサービスやアプリへのログイン時、ID・パスワードに加えてSMSで認証コードを送る「二段階認証」は、一般的な活用例のひとつです。これにより、パスワードリスト攻撃などでIDが流出しても、不正ログインを防ぐことができます。

金融機関やECサイトだけでなく、最近では社内システムのログイン（SSO）にもSMS認証が採用されています。電話番号は変更頻度が低いため、継続的な本人確認手段として非常に有効かつ低コストで導入できる点が評価されています。

重要なお知らせ（督促・決済通知）

必ず本人の目に触れてほしい「重要なお知らせ」にもSMSは最適です。たとえば、クレジットカードの利用速報や、未払い料金の督促、予約の直前リマインドなどが挙げられます。

これらはメールでは迷惑フォルダに入ったり見落とされたりするリスクがありますが、SMSは初期設定を変更していなければポップアップ通知されやすく、本人に届く確実性が高いためです。フィッシング詐欺と誤認されないよう、事前に周知した番号から送ることで、信頼性の高い通知手段となります。

不正ログイン・なりすまし防止への活用

普段と異なる端末やIPアドレスからのログインを検知した際に、登録された電話番号へSMSを送信して本人確認を求める運用も増えています。これは「リスクベース認証」の一環として利用されます。

また、サービスの会員登録時にSMS認証を必須化することで、一人で複数の不正アカウントを作成する「複垢」行為を抑制できます。電話番号の取得には審査が必要なため、悪意あるユーザーの排除に効果的であり、サービスの健全性を保つために有効な方法です。

＞＞金融業界にも導入されるセキュリティ性の高いSMS配信サービスMico SMS/RCSはこちら

SMSとその他チャットサービスのセキュリティ比較

ここでは、SMS以外の以下のチャットサービスとのセキュリティについて比較します。

• メールとの違い
• LINEとの違い
• RCSとの違い

メールとの違い

メールは誰でも容易に複数アカウントを作成できるため、なりすましや不正登録が起こりやすい手段です。また、フィッシングメールの量も多いため、重要な通知が埋もれやすいリスクもあります。

一方、SMSは本人確認を経て取得した電話番号に紐づいているため、なりすましが発生しにくい特性があります。しかし、メールにはPGPやS/MIMEといった暗号化技術が利用できるため、機密情報のやり取りにはメールの方が適している場合があります。

LINEとの違い

LINEの通信はLetter Sealingという暗号化技術により、傍受されるリスクは極めて低いです。しかし、LINEアプリはPCやタブレットなど複数端末からログインが可能です。そのため、IDの流出によるアカウントの乗っ取りやなりすましが発生するリスクがゼロではありません。

一方でSMSは「SIMが入ったその端末」でしか受信できない物理的な制約があるため、乗っ取りの確率はLINEより低いと言えます。

RCSとの違い

RCS（リッチコミュニケーションサービス）は、SMSよりもリッチな表現が可能な、次世代規格のメッセージサービスです。RCS同士の1on1の個人チャットであればエンドツーエンド暗号化が適用されるため、SMSの「暗号化されていない」弱点を克服しています。

しかし、現時点では受信できる端末やキャリアに制限があります。送信側がRCSを使っていても、受信側の相手もRCS対応の端末を利用していなければ、暗号化は有効ではありませんので注意しましょう。

セキュリティを重視したSMS配信サービスの選び方

SMSを安全に活用するには、配信サービスの選定が重要です。ここでは、セキュリティを重視したSMS配信サービスを選ぶ際のポイントを、以下で2つ解説します。

SMSの配信ルート「国内直収」と「国際網」

多くの担当者が見落としがちなのが、SMSがどのようなルートを通ってユーザーに届くかという問題です。この違いがサービスの価格差や安全性への差を生み出します。

SMS配信サービスの接続方式には、国内キャリアと直接接続する「国内直収接続」と、海外の回線を経由する「国際網接続」があります。

セキュリティと到達率を重視する場合、必ず「国内直収」を選定しましょう。

国際網を利用したサービスは安価ですが、海外の複数サーバーを経由するため通信内容の秘匿性が国内直収に比べて低くなるリスクがあります。日本国内のユーザー同士のSMSであっても、一度海外の回線を経由するケースがあり、その分リスクが高まります。

一方、セキュリティと品質を重視する企業が選ぶのが「国内直収接続」です。これは、配信事業者が国内の携帯キャリア（docomo、au、SoftBank、楽天モバイル）と直接回線を接続して配信する仕組みです。

国内キャリアの厳格な審査基準をクリアした事業者しか接続できないため、スパムが混入しにくくなります。また、キャリア公認のルートであるため、メッセージが届かないリスクが低くなります。

プライバシーマーク・ISMS認証の有無

SMS配信サービスの選定では、第三者認証の有無が重要です。たとえば、プライバシーマークやISMSを取得している事業者であれば、情報管理体制が一定水準以上と判断できます。ISMSは国際規格で定められている、情報資産を保護するための一連の仕組みです。

SMS配信では、顧客の電話番号という「個人情報」を委託先に預けることになります。万が一、委託先から情報漏えいが発生した場合、委託元である企業の責任も問われます。認証を取得している企業であれば、従業員の教育やサーバーの監視体制が整っている客観的な証明となり、安心して依頼できます。

なりすまし対策機能がある

「勝手に自社の番号を使って配信されることはないか？」という懸念には、送信元番号の事前審査制度があるサービスを選びましょう。 また、最近普及が進んでいる「共通ショートコード（docomo/au/SoftBank共通の番号）」に対応しているサービスであれば、キャリアの公式審査を経ている証明になるため、社内説得の材料として非常に強力です。

まとめ

SMSは「SIMカードによる物理的な本人紐づけ」と「キャリアのフィルタリング」により、高いセキュリティ水準を維持しています。

重要なのは、「安さ」だけで国際網接続の配信サービスを選ばず、セキュリティ体制が整った国内直収のベンダーを選定することです。

金融業界にも導入されているセキュリティの高い Mico SMS/RCS

弊社の「Mico SMS/RCS」は、「国内直収」を採用したSMS配信サービスです。プライバシーマーク・ISMS認証を取得しており、セキュリティ対策に力を入れています。

また、SMSだけでなくLINEやRCSも一元管理でき、安全性と成果を両立したコミュニケーションが可能です。

「うちの会社のセキュリティ基準で導入できるか知りたい」とお考えでしたら、以下のページをご覧ください。