スマートフォンに届く6桁のコードを打ち込んでアカウントにログインする——その手順を「安全の証明」だと思ってきたユーザーは多い。しかし今、MicrosoftはそのSMS認証を「詐欺の主要な発生源」と明言し、廃止を進めている。30年以上前に設計されたSMSがなぜセキュリティの基盤として使われ続けてきたのか、そしてMicrosoftが選んだ代替策は何なのか。個人向けMicrosoftアカウントのSMS二段階認証(2FA)が消える背景を追う。

AD

SMS 2FAが「詐欺の主要原因」になった経緯

SMSが生まれたのは1993年、GSM(Global System for Mobile Communications)規格が策定された時代だ。テキストメッセージを電話番号に紐づけて届けるその仕組みは、セキュリティを想定していない時代のプロトコル設計をそのまま引き継いでいる。SMSは平文で送信され、経路上での傍受が原理的に可能なうえ、キャリアのネットワーク自体が攻撃経路になりうるSS7プロトコルの脆弱性も30年間塞がれていない。

Microsoftはこの現状について公式声明でこう述べている。「SMSによる認証は今や詐欺の主要な発生源となっており、パスワードレスアカウント・パスキー・確認済みメールへの移行によって、進化する脅威への対策を強化しつつ、アカウントへのアクセスをよりシンプルで安全なものにしていく」。

SIMスワップ攻撃は「可能性としての脅威」から「現実の被害」に移行している。攻撃者が携帯キャリアのサポート窓口を騙し、標的の電話番号を自分のデバイスに転送させることで、SMSで届くすべての認証コードを受信できるようになる手口だ。英国のCifasが報告したデータによると、2024年のSIMスワップ詐欺件数は2023年の289件から2,961件へと前年比約924%増で急増した。米FBI IC3(Internet Crime Complaint Center)の2024年報告でも、SIMスワッピングによる被害は982件・損失額は約2,600万ドルに上る。

sim-swap-attack-visualization.webp

FCC(米連邦通信委員会)は2023年に携帯キャリアへのSIMスワップ対策強化を命じたが、業界からの反発によって執行期限は延期されたままだ。インフラ側の対策が進まない状況を受け、Microsoftは認証方式そのものを変えるという選択をした。

パスキーの仕組み:なぜSMSコードより安全なのか

SMSコードはサーバーが生成した6桁の数値を電話回線経由でユーザーに届けるため、その経路のどこかで傍受されるリスクがある。パスキーはこの設計を根本から変えた仕組みだ。認証に使う「秘密」がデバイスの外に出ないため、通信経路での傍受が物理的に不可能になる。

パスキーはFIDO2規格に基づく暗号鍵のペア(cryptographic key pair)で動作する。サインアップ時にデバイス上で秘密鍵と公開鍵が生成され、秘密鍵はデバイスのTPMチップ(Trusted Platform Module)に格納される。公開鍵のみがサーバーに登録される。ログイン時、サーバーは「チャレンジ(challenge)」と呼ばれるランダムなデータを送り、デバイス側が秘密鍵でそれに署名して返す。秘密鍵そのものはデバイスの外に出ない。

秘密鍵をロック解除するのは顔認証・指紋認証・デバイスPINのいずれかで、生体情報自体もデバイス外に出ない。パスキーはアクセス先のドメインと紐づいており、microsoft.comの認証情報はmicrosoft.comにしか使えない設計だ。フィッシングサイトに誘導されてもパスキーは機能しない。SMSコードの場合、偽サイトに入力したコードをリアルタイムで本物のサイトに転送する「中間者攻撃(man-in-the-middle attack)」が成立するが、パスキーには盗まれる情報がない。

Apple iCloud KeychainやGoogle Password Manager経由で複数デバイスに同期でき、スマートフォンとPCの両方で同じパスキーを使う構成が可能だ。Googleのデータではパスキーによるサインイン成功率は93%と、パスワード方式の63%を大きく上回る。Apple・Google・Microsoftの3社は2022年にFIDO標準への拡大対応を共同でコミットしており、今回のMicrosoftの動きはその流れを加速させたものだ。

FIDO Alliance(ファイド・アライアンス)の2025年調査では、ユーザーの69%が少なくとも1つのパスキーを保有し、主要100サイトの48%がパスキーに対応している(2022年比で2倍超)。

AD

段階的廃止の現状:新規アカウントはすでに始まっている

Microsoftは2026年5月、代替手段(パスキー・認証アプリ・確認済みメール)をすでに設定済みのアカウントからSMS認証を順次無効化する形で廃止を開始した。完全廃止の具体的な期限は公式発表として確定しておらず、段階的に対象を広げていく方針が示されている。

新規アカウントへの影響はすでに始まっている。新規登録時のサインインオプションからSMSコードは除外済みで、新たにアカウントを作るユーザーははじめからパスキーや認証アプリを前提にする設計だ。Windows 11のサインイン画面では「Sign in faster(顔・指紋・PINで素早くサインイン)」というプロンプトが表示され、オンデバイスパスキーの設定を促す仕組みも実装されている。

既存ユーザーはMicrosoftアカウントの設定画面からパスキーを追加できる。Microsoft Authenticatorアプリ(iOS・Android)も引き続き有効な代替手段で、確認済みのメールアドレスも認証手段として機能する。廃止が自分のアカウントに適用されたとき慌てないよう、複数の代替手段を今のうちに登録しておくことを勧める。対象はXbox・OneDrive・Outlook等に使う個人向けMicrosoftアカウントに限られ、法人向けのMicrosoft 365やEntra ID(旧Azure AD)は今回の廃止対象ではない。

強制移行が抱える課題:VM環境・デバイス紛失・利便性

VM環境とパワーユーザーへの影響

技術的な制約が最も大きく現れるのはVM(仮想マシン)環境だ。仮想マシンはホストマシンの生体認証ハードウェア(指紋センサー・顔認識カメラ)に直接アクセスできないため、パスキー認証が困難になると指摘されている。開発者やITプロフェッショナルの中にはVM環境でMicrosoftアカウントを使うケースも多い。現段階では、Microsoft Authenticatorアプリか確認済みメールアドレスを認証手段として登録し、パスキー廃止の適用前に代替手段を維持しておくのが現実的な対応だ。Microsoftが代替フローをどこまで整備するかは今後の課題として残っている。

デバイス交換時の回復経路

デバイスを紛失・交換した際の回復経路も、一般ユーザーには分かりにくいポイントだ。iCloud KeychainやGoogle Password Managerを使えばクロスデバイス同期は可能だが、その設定を事前にしていないユーザーが新しいデバイスでアカウントにアクセスしようとしたとき、確認済みメールアドレスや認証アプリなど複数の回復手段をあらかじめ登録しておく必要がある。

ユーザーの反応

セキュリティの観点からは支持の声が大きい。あるRedditユーザーは「SMS 2FAは複数の面でひどく脆弱だ。良い判断だ」(原文:"Good move. SMS as MFA is horribly vulnerable on multiple fronts.")と反応した。技術に詳しくない一般ユーザーからは「デバイスを変えるたびに設定が面倒になるのでは」という懸念も上がっており、移行期の混乱をどう抑えるかが普及の鍵になる。

AD

習慣の終わりが示すもの

スマートフォンに届く6桁のコードを入力するという習慣は、数十年後に「なぜあんな脆弱な方法を使っていたのか」と振り返られる日が来るだろう。2024年の英国での前年比約924%という数字は、「リスクがある」という警告から「被害が起きている」という現実への移行を示している。Microsoftが今回踏み切った理由は、攻撃者が実際にSIMスワップを大規模に使い始めたという事実に尽きる。認証インフラを変えることは難しいが、現行のSMS認証のまま待つことの方がより大きなリスクを抱えることになった——その判断が今回の廃止宣言の背後にある。