「さよならSMS認証」Googleが段階的な廃止へ 他企業も追随か：セキュリティニュースアラート

GoogleはSMSによる多要素認証（MFA）を廃止し、QRコードを使用する新たな認証方式に移行する方針を明らかにした。この流れに乗って他の企業もこれを廃止する可能性がある。

[後藤大地，有限会社オングス]

　英国のITニュースメディア「The Register」は2025年2月25日（現地時間）、Googleがショートメッセージサービス（SMS）を利用した認証コード送信を段階的に終了し、QRコードを使用するより安全な認証手法へ切り替えると報じた。

　SMSを利用した多要素認証（MFA）は長年にわたり広く使用されてきたが、その安全性には大きな問題があった。特にSS7（Signaling System No.7）の脆弱（ぜいじゃく）性を悪用すれば、ハッカーや国家レベルの攻撃者が認証コードを傍受できる。この他、SIMスワッピングと呼ばれる手口を使うことで攻撃者が被害者の電話番号を乗っ取り、その番号宛に送信された認証コードを盗み取ることも可能だ。

「さよならSMS認証」Googleが段階的な廃止へ　他企業も追随か

　SMSを使ったMFAについて、米国国立標準技術研究所（NIST）は2016年にその使用を避けるように勧告した。さらにSIMスワッピング被害の増加を受け、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年に正式にSMS認証の廃止を推奨している。

　Googleプライバシー担当広報であるロス・リチェンドルファー氏はThe Registerに対し「今後数カ月の間に電話番号の認証方法を再構築する予定だ。具体的にはこれまでのように電話番号を入力して6桁のコードを受け取るのではなく、QRコードが表示され、それをスマートフォンのカメラアプリでスキャンする形になる」と述べている。

　ただし、GoogleはSMS自体を完全に廃止するわけではなく、一部の場面では引き続き本人確認の手段としてSMSを使用することもあるという。それでも今後はログイン時にQRコードのスキャンが主流となり、より強固なセキュリティ対策が実施される見込みだ。

　GoogleがSMS認証を廃止することで、他のテクノロジー企業も同様の動きを取る可能性が高い。特に、NISTやCISAの勧告を踏まえたセキュリティ対策の強化が業界全体で進むと考えられる。今後、QRコードを活用した認証手法が標準となることで従来のSMSを悪用した攻撃リスクが大幅に低減されることが期待される。