パスキーでSMS認証のコストを削減する方法

2023年3月20日、X（旧Twitter）が発表した、Twitter Blue以外のユーザーに対するSMSベースの2要素認証（2FA）の廃止。これは詐欺師によるSMSベースの2FAの悪用への対抗策でしたが、この出来事をきっかけに、SMSベース認証が持つ他の潜在的な欠点についても疑問が投げかけられています。

SMS認証は、ユーザーアカウントの保護を強化するために多くの企業で広く採用されていますが（単一要素および2要素の両方）、この認証方法にはセキュリティ問題以外にも多くの欠点が伴うことがよくあります。

この記事では、詐欺、コスト、信頼性、ユーザーエクスペリエンスといった課題を含む、これらの欠点について探ります。そして、これらの問題に対処するために、SMSベース認証よりも多くの面で優れた、新しいパスワードレス標準認証方式としてパスキーがどのように役立つかを解説します。

パスキーが持つ代替の可能性を踏まえ、私たちCorbadoは、インターネットをより安全な場所にすると同時に、企業のSMS関連費用を即座に大幅に削減できる、プラグアンドプレイのパスキーソリューションを提供しています。

SMSベース認証の欠点を探る前に、その基本的な概念を理解することが重要です。SMSベース認証は、主に2つのタイプで構成されています。

• 単一要素認証
• 2要素認証

前者は、SMSで送信されるワンタイムパスコード（OTP）のような方法を含み、従来のパスワードに代わるパスワード不要のログイン手段を提供します。後者は、2FA保護を確実にするための2段階のプロセスを採用しています。ユーザーはまずユーザー名/メールアドレスとパスワードでサインアップ/ログインし、その後、携帯電話にSMSで送信されたワンタイムパスコードを通じてサインアップ/ログインを確定します。

SMSベース認証の欠点について、このログイン方法に関連するさまざまな詐欺の手口に光を当て、信頼性、ユーザーエクスペリエンス、そしてこの認証技術の実装、運用、維持にかかる金銭的コストに関する課題を明らかにしながら、より深く掘り下げていきましょう。

SMSは20年以上前に発明されて以来、大きなセキュリティアップデートは行われていません。そのため、SMS詐欺は大きな問題となっています。

SMSベース認証では、ユーザーがSMS経由で認証コードやリンクを要求すると、サービスプロバイダーはそのコードやリンクをユーザーの携帯電話番号にSMSメッセージで送信します。SMSトラフィックポンピングは、このプロセスを利用して、特定の電話番号に大量の不要な、そしてしばしば詐欺的なSMSメッセージを送信します。

SMSトラフィックポンピング詐欺の犯人は、携帯電話事業者（MNO）とメッセージングサービスプロバイダー間の収益分配契約を悪用します。彼らの目的は、SMSトラフィックを水増しして、より多くの収益を得ることです。なぜなら、メッセージングサービスプロバイダーは、各メッセージを配信するためにMNOに料金を支払うからです。Hacker Newsで現役のStytch社員が指摘しているように、MNOはここで収益を分配することでハッカーと協力しています。電話番号のSMS受信を無効にする（地域ごとの許可設定）、レート制限を実装する、ボットを検出するといった特定の予防策は、SMSトラフィックポンピングを軽減するのに役立ちますが、送信プロセスの設計上、悪用を完全に排除することはほぼ不可能です。

その結果、企業やサービスプロバイダーは、着信メッセージの急増により、しばしば多額の費用を負担することになります。Commsriskによると、TwitterだけでもSMSトラフィックポンピングによって年間6,000万米ドルもの損失を出していたとのことです。また、正規のユーザーは認証コードやリンクの受信に遅延が生じる可能性があります。

この種の詐欺では、詐欺師はMNOのインフラの脆弱性を悪用して、被害者の携帯電話番号を新しいSIMカードに転送します。これにより、攻撃者は被害者の電話番号を乗っ取り、認証コードやリンクを含む着信SMSメッセージを傍受できるようになります。ユーザーの電話番号を乗っ取ると、認証プロセスを迂回し、さまざまなプラットフォーム上のアカウントに不正アクセスすることが可能になります。SIMスワッピングは検出が困難です。攻撃者はしばしばソーシャルエンジニアリングを駆使してMNOのカスタマーサポートを騙し、被害者の番号を新しいSIMカードに転送させます。関係するユーザーを持つ企業はしばしばこの事実に気づかないため、SIMスワップ攻撃は通常、データ侵害、金銭的損失、そして企業の評判への損害につながります。

SMSは高価であり、SMSの価格が下がるという明確な傾向は見られません。

SMSベース認証の実装には2つの選択肢があります。自社でシステムを構築・維持するか、外部の認証ソリューションを利用するかです。両者を組み合わせるアプローチも可能ですが、シンプルさを求めるなら後者の選択肢が推奨されます。Messenteの調査によると、SMSのみの2FAソリューションを自社で構築すると、簡単に5桁（数万ドル）の費用がかかる可能性があります。そのため、通常はより安価な外部ソリューションを選ぶ方が賢明な場合が多いです。

ユーザーにSMSベースの認証メッセージを送信するのは非常に複雑なため、ほとんどの企業は経験豊富なプロバイダーを利用します。そのサービスには取引コストが発生し、これは選択したプロバイダーによって異なります。これらのコストは、以下のような要因に依存します。

• 送信されるSMSの数
• SMSが送信される対象国
• 追加機能

一部のプロバイダーは、SMSによる認証成功に対して追加料金を請求する場合がありますが、これは通常、全体の価格に含まれています。miniOrangeによると、取引価格は通常、SMS1通あたり0.01〜0.20米ドルで、主要プロバイダーに直接接続された高品質のSMSサービスは約0.06米ドルから始まります。デジタル製品のユーザーはさまざまな国にいることが多いため、複数のSMSプランを購入すると費用が増加します。私たちの情報によると、これは認証メッセージの送信だけでコストがいかに急増するかを示しており、ある大手eコマース企業がSMSベース認証に年間1,200万米ドルを費やしている理由でもあります。もちろん、主要な対象国のみにSMSベース認証を提供することで費用を節約することもできますが、それは焼け石に水であり、一部のユーザーにとってはユーザーエクスペリエンスを損なうことにもなります。

維持管理コストの大部分は、通常、取引価格に含まれています。これには、プロバイダーが大量のSMSを管理し、さまざまなMNOへの国際SMS配信を容易にし、不可欠なセキュリティ対策を実装し、規制を遵守するための費用が含まれます。しかし、SMSプロバイダーとのベンダー関係の管理、ユーザーサポートの提供、ダウンタイムや技術的な問題に対処するためのリソースの割り当てなど、企業側で追加の費用が発生する可能性があります。

SMSベース認証の文脈における信頼性とは、SMSの一貫したタイムリーな配信と、送信された認証コードによる認証システムへの途切れないアクセス可能性を指します。地域のインフラによっては、メッセージ配信の遅延、ネットワークの混雑、システムのダウンタイムの可能性などが、認証コードの迅速な受信を妨げる可能性があります。これはユーザーの不満を引き起こし、認証プロセスを阻害します。

考慮すべき重要な側面の一つは、プラットフォームによってユーザーフレンドリーさが異なることです。SMSベース認証は、認証コードの入力を容易にする自動入力機能があるため、モバイルデバイスでは非常にうまく機能します。対照的に、デスクトップでは、認証コードを手動で入力するために追加のデバイス、つまり携帯電話を使用する必要があり、直感的で便利な体験とは言えません。前述の通り、詐欺攻撃が発生したり、SMSの配信や認証コードの取得に問題が生じたりした場合にも、ユーザーエクスペリエンスは低下します。

これまで、パスキーは主にパスワードのパスワードレスな代替手段として認識されてきました。

さらに、パスキーは組み込みの2FA機能を提供するため、パスワードだけでなく、あらゆる種類のSMSベース認証の代替としても機能します。これにより、セキュリティが向上し、SMSベースのワンタイムパスコードがもたらすユーザーエクスペリエンスの課題を回避できます。認証メッセージを置き換えることで、パスキーはSMSベース認証の欠点を効果的に解消する大きなメリットをもたらします。

傍受や改ざんの可能性があるSMSベース認証とは異なり、パスキーは公開鍵インフラを使用するため、あらゆる形態の詐欺攻撃に対して堅牢な保護を提供します。これにより、サーバー侵害が発生した場合でも、不可欠な秘密鍵はユーザーのデバイス内のオペレーティングシステムに埋め込まれて安全に保たれるため、ユーザーアカウントは保護されます。さらに、パスキーが特定の登録済みオンラインサービスにリンクされていることは、フィッシング攻撃への対策となり、パスキーを現在利用可能な最も安全な認証方法にしています。

SMSベース認証と同様に、パスキーの実装にもコストがかかります。自社で実装を処理することも可能ですが、安全な認証に重点を置く場合、専門家への依頼が好まれることが多いです。専門家の専門知識は、自社開発コストの数分の一で済み、SMSベース認証プロバイダーが実装に請求する料金と同程度です。コストの観点から見ると、パスキーに投資する大きな利点は、ログインやサインアップのためにSMSを送信する必要がなくなることです。代わりに、ユーザーはFace IDやTouch IDを使用して安全にログインできます。これにより、年間で数百万ドルもの認証コストを削減できる可能性があるだけでなく（特に大規模な消費者向けビジネスの場合）、SMSの送受信時に発生しうるすべての課題も解消されます。

マーケティングやその他のコミュニケーション目的でしばしば必要となるユーザーの電話番号の検証には、ワンタイムパスコードを含む最初のSMSを送信するという選択肢が依然として残っています。これにより、SMSをパスキーと並行して実行できます。さらに、SMSはフォールバック方法としても機能します。これらのシナリオと従来のSMSベース認証との主な違いは、SMSがログイン試行のたびに送信されるのではなく、時折送信されるだけであるという点です。

生体認証（例：Face ID、Touch ID、Windows Hello）を携帯電話やデスクトップデバイスのロック解除に使用することは、ユーザーの間で急速に一般的になりました。パスキーは、この使い慣れた体験をアカウントのロック解除にも拡張します。ほとんどの携帯電話やデスクトップデバイスはすでにパスキーに対応しているため、SMSベース認証を1対1で置き換えることができます。デバイスからのローカルな指紋または顔スキャンにより、ラップトップベースのSMS認証で依然として必要だったセカンダリデバイスは不要になります。この大幅な改善により、ユーザーエクスペリエンスが簡素化され、アカウントへのログインが簡単になります。パスキーのもう一つのユニークな機能は、Conditional UIです。この機能は、ユーザーがユーザー名入力フィールドを操作すると、保存されているパスキーを自動的に提案して事前入力することで、ユーザーの利便性を向上させます。これにより、ユーザー名を含む認証情報を手動で探す必要がなくなります。これらはすでにデバイスやブラウザ内に安全に保存されており、自動的に事前入力されるためです。

パスキーベースの認証への移行は、よりスムーズなログインUXと優れた（フィッシング耐性のある）MFAだけが目的ではありません。パスキーは、次の2つのことが達成されれば、大幅なSMS OTPコストを削減することもできます。

• 高いパスキー採用率
• 高いパスキーログイン率

Corbadoのパスキー技術とインテリジェントな設計は、これら両方の側面を最適化し、SMSコストの大幅な削減を提供することに重点を置いています。従来のDIYソリューションと比較して、10倍高いパスキー採用率で最大90%のコスト削減を達成します。その方法を見ていきましょう。

最初のステップは、既存のユーザーがアカウント設定でパスキーを作成できるようにすることで、彼らをパスキーユーザーに転換することです。しかし、これだけでは既存のユーザーベースの間でパスキー採用率を高めるには不十分です。Corbadoはいくつかのソリューションを提供しています。

• プログレッシブ自動登録： 私たちのパスキーインテリジェンスエンジンは、パスキー登録プロセスを最適化するように設計されており、可能な限り（例えば、従来の認証方法でのログイン時など）スムーズで摩擦のない方法でユーザーをパスキー採用へと導きます。この積極的なアプローチにより、ユーザーが圧倒されたり混乱したりすることがなくなり、離脱率を減らし、全体的な採用率を高めます。
• ローカルパスキーの自動作成： 顧客がクロスデバイス認証経由でログインした場合、現在使用している環境でローカルパスキーを作成するオプションが提供され、すべてのデバイスでパスキー採用率を高めます。現在のデスクトップデバイスがパスキーを作成するためのプラットフォーム認証器を提供していない状況では、モバイルファースト戦略を採用して携帯電話でパスキーを作成することができます。
• パスキーへの自動アップグレード： Corbadoの決定エンジンは、ユーザーのパスキーへの自動アップグレードを促進し、ユーザーの積極的な参加を必要とせずに採用率を大幅に向上させます。このシームレスな移行は、iOS 18以降のデバイスで自動的に機能する私たちのパスキーインテリジェンス決定エンジンによって実現されます（今後さらに多くのデバイスに対応予定）。

私たちは、より多くのユーザーが簡単にパスキーを採用できるようにし、自作のパスキー実装よりも10倍高い採用率を達成します。

2番目に重要なステップは、可能な限りパスキーログインをトリガーし、既存のパスキーの再利用を積極的に促すことです。

• IDファーストアプローチ： 最初にID（例：メールアドレス）のみを尋ねてログインプロセスを開始し、その後パスキーログインが可能かどうかを自動的に判断することで、UXを簡素化し、より高いパスキー使用率を促進します。この方法は、ユーザーがログインするために必要な手順を減らし、消費者が頻繁に無視する別の「パスキーでサインイン」ボタンを提供するよりも、プロセスをより迅速かつ直感的にします。
• クロスデバイス認証とワンタップパスキーログイン： Corbadoは、ローカルパスキーが利用できない場合、自動的にWebAuthnクロスデバイス認証にフォールバックします。さらに、デバイスでパスキーログインが記録されると、ユーザーIDフィールドは自動的にワンタップパスキーログインボタンに変換され、ログインがさらにシームレスになります。

Corbadoのパスキー採用率とログイン率を最大化する革新的なアプローチは、DIYアプローチに比べて大きな利点を提供します。このインテリジェントな設計を活用することで、ユーザーがパスキーを統合するだけでなく、積極的に採用することを保証し、最大で10倍高い採用率とログイン率を実現します。この移行は、セキュリティとユーザーエクスペリエンスを向上させるだけでなく、特にSMS OTP費用を最大90%削減することで、大幅なコスト削減をもたらします。効率的で安全な認証が重要となるこれからのパスキー時代において、Corbadoは採用とコスト効率の両方を推進するリーダーとして際立っています。

要約すると、パスキーはSMSベース認証の欠点に取り組むための実用的なソリューションを提供します。堅牢なセキュリティ、費用対効果、そして高いユーザーエクスペリエンスを提供し、賢明な代替手段となります。生体認証技術やConditional UIのようなユーザーフレンドリーな機能により、パスキーはセキュリティをシームレスにし、プラットフォームを問わずスムーズなユーザーエクスペリエンスを実現します。認証方法を強化したいと考えている企業にとって、Corbadoのパスキーソリューションは、セキュリティを強化し、コストを削減し、SMSベース認証の課題を過去のものにする簡単な方法です。お客様のSMS OTP / 2FA設定に合わせたオーダーメイドのパスキー認証ソリューションについては、ぜひお問い合わせください。