Google、GmailのSMS認証を廃止しQRコードへ移行：セキュリティ強化と詐欺対策

Googleは2025年前半までに、Gmailをはじめとする自社サービスで使用しているSMSベースの認証システムを段階的に廃止し、より安全なQRコードスキャン方式に移行する計画を発表した。この変更はSIMスワップ詐欺やフィッシング攻撃などのセキュリティリスクに対処するとともに、「トラフィックポンピング」と呼ばれる新種の詐欺から企業を守ることを目的としている。

なぜGoogleはSMS認証を廃止するのか

Gmailの認証にSMSコードを利用する方法は、長らくセキュリティ上の懸念が指摘されてきた。SMSメッセージは暗号化されずに送信されるため、中間者攻撃による傍受のリスクがある。さらに重大な問題は「SIMスワップ攻撃」だ。これは、詐欺師が携帯電話会社の担当者を騙して被害者の電話番号を自分のデバイスに転送させる手法であり、二要素認証コードを不正に入手することを可能にする。

GoogleのスポークスパーソンであるRoss Richendrfer氏は、Forbesに対し、「詐欺師が簡単にキャリアを騙して誰かの電話番号を入手できる場合、SMSのセキュリティ価値は消失します」と語っている。

また、フィッシング詐欺によって、ユーザーがSMSで受け取ったコードを詐欺師に提供するよう騙される事例も増加している。Googleに関連していると偽装することで、ユーザーからSMSコードを引き出すことは比較的容易なのだ。

さらに、近年では「トラフィックポンピング」（通行料詐欺とも呼ばれる）という新種の詐欺手法が出現している。これは詐欺師が管理する電話番号に大量のSMSメッセージを送信させ、メッセージが配信されるたびに料金を徴収する仕組みである。Elon Musk氏によれば、Twitterを買収した際、このような詐欺によって年間約6000万ドル（約90億円）のSMSトラフィック料金がかかっていたことが明らかにされ、一時期話題になったこともある。

実は、米国政府の国立標準技術研究所（NIST）は既に2016年の時点で、基本的なテキストメッセージを多要素認証の手段として廃止すべきであるとアドバイスしていた。また、2024年には米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も公式にSMS認証から離れ、より安全なシステムへの移行を推奨している。

新しいQRコード認証システムの仕組みと利点

新方式はテスト段階であり、Richendrfer氏によれば、「今後数カ月にわたり、私たちは電話番号の検証方法を再考します。具体的には、番号を入力して6桁のコードを受け取る代わりに、電話のカメラアプリでスキャンする必要があるQRコードが表示されます」とのことだ。

QRコード認証方式には複数の利点がある。まず、SMSという中間媒体を排除することで、キャリアのセキュリティ慣行に依存する必要がなくなる。また、QRコードスキャンはフィッシング詐欺を困難にする。ユーザーが共有できる数字コードそのものが存在しないため、詐欺師がユーザーをだましてコードを共有させることが不可能になるからだ。

「パスキーのようなものでパスワードを過去のものにしたいのと同様に、認証のためのSMSメッセージの送信からも離れたいと考えています」とRichendrfer氏は語る。この発言は、Googleがより安全なセキュリティ手法への継続的な移行を進めていることを示している。

GoogleがSMS認証を使用する目的と新システムの影響

現在、GoogleはSMSコードを主に2つの目的で使用している。一つはユーザーが本人であることを確認するセキュリティ目的、もう一つは犯罪者がスパムやマルウェア配布のために多数のGmailアカウントを一度に作成することを防止する乱用制御だ。

「SMSコードはユーザーにとって高まるリスクの源です。私たちは攻撃者の攻撃対象領域を縮小し、ユーザーを悪意のある活動から安全に保つための革新的な新しいアプローチを導入できることを嬉しく思います」とRichendrfer氏は述べている。

この変更は、現在SMS認証を使用しているGmailおよびGoogleアカウントユーザーに影響を与える。今後数カ月の間に、ログイン時に表示される画面が変更され、6桁のコードを入力する代わりにQRコードをスキャンするよう求められるようになる。

なお、GoogleはSMSを完全に廃止するわけではなく、本人確認として時々着信テキストが必要になることがあるとしている。また、すでに認証アプリ（Google AuthenticatorやMicrosoft Authenticatorなど）やセキュリティキーなどの二要素認証を使用している場合は、引き続きそれらの方法でアカウントを確認することになり、大きな変化はない。

XenoSpectrum’s Take

Googleの今回の動きは、テクノロジー業界全体でのSMS認証からの脱却という大きなトレンドの一部である。パスワードからパスキーへの移行と同様に、コード生成アプリやアプリレス認証アプローチが近年増加しており、セキュリティ業界全体がSMSよりも安全な認証方法を推進している。

SMS認証は何もないよりはましとされてきたが、セキュリティ専門家からはその脆弱性が長年指摘されてきた。特に、電話番号が簡単に乗っ取られる危険性があるSIMスワップ攻撃の増加により、その懸念は現実のものとなっている。

Googleは2011年2月にSMSによるワンタイムパスコードの配布を導入したが、2018年の時点ではユーザーの10％未満しかこれを採用していなかった。しかし、2021年にGoogleはほとんどのサービスに多要素認証を義務付けたため、SMS認証の利用が拡大した。

今回のQRコードへの移行は、ユーザー体験を大きく変えることなく、セキュリティを向上させるGoogleの試みと言える。リヘンドルファー氏は「近い将来、これについてさらに多くの情報を提供します」と述べており、詳細な実装計画は今後明らかになるものと思われる。

---

Source

• Forbes: Google Confirms Gmail To Ditch SMS Code Authentication