Windows Centralは5月19日(米国時間)、「Microsoft plans to end SMS two-factor authentication, potentially setting the pace for a passwordless Windows 11 future: "SMS as MFA is horribly vulnerable on multiple fronts."|Windows Central」において、Microsoftがショートメッセージサービス(SMS: Short Message Service)を利用する多要素認証(MFA: Multi-Factor Authentication)を廃止すると報じた。

今後、個人用Microsoftアカウントの認証および復旧方法としてのショートメッセージサービスの利用は段階的に廃止されるという。

なぜSMSベースの認証を廃止するのか

Microsoftは、「SMSベースの認証は現在、不正行為の主要な原因になっている」と説明している。そのリスクの高さから、同社のセキュリティ基準を満たさないと判断し、段階的な廃止を決定した。

同社は代替手段として、パスキーおよび認証済みメールアドレスの利用を推奨している。特にパスワードレス認証を実現するパスキーを重視しており、積極的な移行を呼びかけている。

これはMicrosoftが掲げるパスワードレス戦略に一致した取り組み。同社は将来的に、パスワードに依存しない認証環境の実現を目指している。

SMSは何が危険なのか

SMSは、電話番号を利用してテキストメッセージを送受信する仕組みであり、インターネット接続がなくても利用できる。この到達性の高さから、多要素認証(MFA)におけるワンタイムコードの送信手段として広く利用されてきた。

しかしながら、SMS認証にはフィッシング耐性が低いという問題がある。攻撃者が偽サイトを用意し、利用者に認証コードを入力させることで、アカウントを不正利用されるケースが確認されている。

さらに、電話番号を乗っ取る「SIMスワップ攻撃」によってSMS認証コードが盗まれるリスクも指摘されている。このため、近年はSMS認証を避け、パスキーや認証アプリへ移行する動きが広がっている。

パスキーとは何か、なぜ推奨するのか

パスキーは、スマートフォンやPCに保存された秘密鍵と、生体認証(指紋認証・顔認証など)を組み合わせてログインする認証方式。パスワードをサーバ側に保存しないため、フィッシング攻撃に強い特徴を持つ。

  • Googleのパスキーの設定画面

    Googleのパスキーの設定画面

利用者は、パスワードを入力する代わりに、Windows Helloやスマートフォンの生体認証を使って本人確認を行う。すでにGoogle や Apple をはじめ、多くの主要オンラインサービスが対応を進めている。

  • Windows Helloの画面

    Windows Helloの画面

パスワードのない認証と聞くと不安に思われる方もいるかもしれない。しかし、FIDO2対応のパスキーは、従来のパスワード認証よりもフィッシング耐性が高く、安全性と利便性を両立した認証方式として普及が進んでいる。Windows 11やiPhone、Androidでも利用可能となっており、主要サービス各社が対応を拡大している。