BTC

学ぶ

ビットコイン二段階認証の乗っ取り対策|SMSの弱点・認証アプリ移行・SIMスワップ防御の完全ガイド

ビットコイン二段階認証の乗っ取り対策|SMSの弱点・認証アプリ移行・SIMスワップ防御の完全ガイド
写真: jaydeep_ / CC0

結論

ビットコイン取引所アカウントの乗っ取り対策の正解は、二段階認証をSMSから「認証アプリ」または「ハードウェアセキュリティキー」へ移すことです。 SMS認証は「SIMスワップ」という電話番号ごと乗っ取られる攻撃で突破されるため、米国NISTの最新ガイドライン(SP 800-63B-4)でもSMSは制限付き認証(restricted authenticator)に格下げされています。認証アプリ(TOTP)はSIMスワップの影響を受けず、ハードウェアキー(FIDO2/パスキー)は偽サイトにコードを渡さないフィッシング耐性まで持ちます。まず「認証アプリへ移行」、資産が大きいなら「ハードウェアキー」まで進めるのが本記事の推奨です。

この記事のポイント

- SMS認証はSIMスワップとSS7の弱点で突破される。使うなら最後の手段、できれば無効化する。

- 最低ライン=認証アプリ(Google Authenticator等のTOTP)。SIMスワップの影響を受けない。

- 最強=ハードウェアキー/パスキー(FIDO2)。偽サイトにコードを渡さずフィッシングも防ぐ。

- 乗っ取られたら初動が命:キャリアへSIM停止連絡→取引所へ連絡→出金停止→パスワード全変更の順で動く。

なぜSMS認証は危険なのか

SMSによる二段階認証は「そのコードを受け取れるのは本人の電話だけ」という前提に立っています。SIMスワップはこの前提を崩す攻撃です。攻撃者が事前に漏洩した個人情報(氏名・生年月日・住所など)を使い、携帯キャリアになりすまして「SIMを再発行してほしい」と依頼します。成功すると、あなたの電話番号が攻撃者の端末に移り、SMSで届く認証コードが丸ごと攻撃者に渡ります。

さらにSMSには通信網の古い規格「SS7」を悪用してメッセージを傍受される弱点もあり、SMS自体が暗号化されていないことも問題です。こうした背景から、米国のNISTは2024年以降のガイドライン(SP 800-63B-4)でSMS/電話網によるワンタイムコードを「制限付き認証」に分類し、SIMスワップや番号ポーティングのリスクを前提に追加の注意が必要としました。国内取引所のbitFlyerも二段階認証で最も強く推奨しているのは「認証アプリ」で、SMSは次点の位置づけです。

乗っ取りの入口はSIMスワップだけではありません。偽の取引所サイトにコードごと入力させる手口も多く、偽取引所・フィッシングの見分け方ビットコイン詐欺の種類と回避法も併せて押さえておくと守りが厚くなります。

二段階認証の3方式を比較する

方式仕組みSIMスワップ耐性フィッシング耐性手軽さ推奨度
SMS認証電話番号にコード送信✕(突破される)最後の手段
認証アプリ(TOTP)端末内で30秒ごとにコード生成△(偽サイトに入力すると危険)推奨(最低ライン)
ハードウェアキー/パスキー(FIDO2)物理キーや端末で公開鍵署名◎(偽ドメインに反応しない)最強(大口向け)

ポイントは2軸です。SIMスワップ耐性では、認証アプリもハードウェアキーもSMSに勝ります(コードや鍵が端末内にあり、電話番号に依存しないため)。フィッシング耐性では、認証アプリのコードは偽サイトに入力させられる余地が残るのに対し、ハードウェアキー/パスキーはドメインを検証し、偽サイトには署名を返さないため、コードを盗まれる余地そのものがありません。Googleは全社員にハードウェアキーを義務化した後、フィッシングによるアカウント侵害がゼロになったと報告しています。

認証アプリへ移行する手順

いま最も費用対効果が高いのが、SMSから認証アプリへの切り替えです。

  1. 認証アプリを入れる:Google Authenticator、Microsoft Authenticator、Authy など。
  2. 取引所のセキュリティ設定を開く:例)bitFlyerは「設定」→「セキュリティ設定」、Coincheckは「二段階認証」メニュー。
  3. 表示されたQRコードをアプリで読み取る:アプリ側に6桁コードが表示される。
  4. 表示コードを入力して有効化:この時点でSMSではなくアプリ経由の認証に切り替わる。
  5. リカバリーコードを紙で保管:機種変更や端末紛失に備え、オフラインで保存(スクショをクラウドに置かない)。
  6. 可能ならSMS認証を無効化:SMSを残すと弱い方が狙われるため、方式は認証アプリに一本化する。

注意

機種変更で認証アプリのデータを移し忘れると、自分がログインできなくなります。移行前に必ずリカバリーコードを控え、旧端末を初期化する前にアプリのアカウント移行(エクスポート)を済ませてください。本記事は投資助言ではなく、セキュリティ教育を目的とした一般情報です。

SIMスワップそのものを防ぐ

二段階認証を強くするのと並行して、電話番号自体を守る施策も有効です。

  • SIM PIN(PINロック)を設定:SIMの無断利用を防ぐ。
  • キャリアの「回線ロック/番号変更ロック」を有効化:本人確認を厳格化するオプションがあれば申し込む。
  • 公開情報を減らす:SNSで生年月日・電話番号・実家住所などを晒さない(なりすまし材料になる)。
  • 重要口座の連絡先メールを分ける:取引所用に専用メールを使い、推測されにくくする。
  • 急に圏外・「SIMが無効」表示が出たら即警戒:SIMスワップの典型的な前兆。

乗っ取られた・疑わしいときの初動

スピードが被害額を左右します。上から順に、並行して動いてください。

  1. 携帯キャリアへ即連絡:SIMの利用停止・再発行を依頼し、番号を取り戻す。
  2. 取引所のサポートへ連絡:アカウント凍結・出金停止を依頼する。多くの取引所に緊急ロック手段がある。
  3. 出金・送金履歴を確認:身に覚えのない送金があれば取引所とキャリアに記録として伝える。
  4. パスワードを全変更:取引所・連絡先メール・SNSなど、SMS認証を使っていた全サービス。
  5. 二段階認証を認証アプリ/ハードウェアキーへ再設定:同じSMSに戻さない。
  6. 警察へ相談:被害届の準備。取引所の調査にも役立つ。

なお、取引所に置いた資産はそもそも「他人の管理下」にあります。長期保有分は取引所から自分の管理下へ移す考え方も重要で、ホットウォレットとコールドウォレットの違いを理解しておくと、乗っ取り時の被害を根本から小さくできます。

よくある質問

Q. SMS認証はすぐ止めるべきですか? A. 認証アプリを設定できるなら、SMSは無効化するのが安全です。取引所がSMSしか対応していない場合のみ、SIM PINや回線ロックと併用して「最後の手段」として使ってください。

Q. 認証アプリとハードウェアキー、どちらを選べばいい? A. まずは全員が認証アプリへ。保有額が大きい、または長期で使うなら、フィッシングまで防げるハードウェアキー/パスキーへ進めるのが理想です。

Q. 認証アプリを入れたスマホを無くしたらどうなりますか? A. 事前に保存したリカバリーコードで復旧します。だからこそ、有効化直後にコードを紙などオフラインで保管しておくことが必須です。

Q. パスワードを複雑にすればSMSでも大丈夫では? A. SIMスワップはパスワードの強度と無関係にSMSコードを奪います。防御の要は「認証方式の格上げ」です。

参考・出典

投資にあたっての注意

本記事は情報提供を目的としたものであり、投資助言ではありません。暗号資産は価格変動やハッキング、紛失等のリスクがあります。投資判断はご自身の責任で、余裕資金の範囲で行ってください。税制・規制は変更される場合があるため、最新情報は必ず公式の一次情報をご確認ください。

Sources

  1. NIST Special Publication 800-63B-4 Digital Identity Guidelines
  2. NIST SP 800-63B(オンライン版 Authenticators)
  3. ESET/キヤノンMJ サイバーセキュリティ情報局:SIMスワップとは?具体的な手口と講じるべき対策
  4. カスペルスキー:SIMスワップ詐欺とは?攻撃に対する対策
  5. bitFlyer 公式FAQ:二段階認証について教えてください

FAQ

SMS認証はすぐ止めるべきですか?
認証アプリを設定できるなら、SMSは無効化するのが安全です。取引所がSMSにしか対応していない場合のみ、SIM PINや回線ロックと併用して最後の手段として使ってください。SMSはSIMスワップで突破されるため、方式は認証アプリへ一本化するのが基本です。
認証アプリとハードウェアキー、どちらを選べばいいですか?
まずは全員が認証アプリ(TOTP)へ移行してください。保有額が大きい、または長期で使うなら、偽サイトにコードを渡さずフィッシングまで防げるハードウェアキー/パスキー(FIDO2)へ進めるのが理想です。
認証アプリを入れたスマホを紛失したらどうなりますか?
有効化時に保存したリカバリーコードで復旧できます。だからこそ設定直後にコードを紙などオフラインで保管することが必須で、クラウドやスクリーンショットでの保存は避けてください。
パスワードを複雑にすればSMS認証でも安全ですか?
いいえ。SIMスワップはパスワードの強度と無関係にSMSコードを奪う攻撃です。防御の要はパスワード強化ではなく、認証方式そのものを認証アプリやハードウェアキーへ格上げすることです。
佐藤 健一
  • 暗号資産アナリスト
  • ビットコイン取材歴9年
  • 元金融メディア記者

2016年からビットコインを取材・解説。半減期、マイニング、各国規制、自己管理(セルフカストディ)に明るく、初心者にわかる説明を重視。

本記事は情報提供のみを目的とし、投資・金融・取引の助言ではありません。価格は参考値で古い場合があります。投資判断はご自身の責任で。