メール／SMSの6桁OTPは最悪の認証システム？専門家が指摘する重大なセキュリティリスクと最新動向

“安全だと思っていた認証が、実は最大の弱点かもしれない”

メールやSMSで届く6桁コード――OTP（ワンタイムパスワード）は手軽で広く使われていますが、そうした利便性の裏には複数の脆弱性が潜んでいます。

AIを使った音声詐欺、SIMスワップ、最新の盗聴技術まで、その攻撃手法は想像を超えて巧妙に進化しています。

本記事では、海外報道を基に根本的なセキュリティ脆弱性を掘り下げ、日本のユーザーが見逃しがちなリスクを明らかにします。

1. OTP認証のリスクとは？技術的な側面から解説

• SMS・メールによるOTPはインターセプトされやすい
  SMSはSS7プロトコルの脆弱性により数秒で傍受されることがあるほか、NISTもSMSでの2FAを非推奨としています
  ウィキペディア+1

• SIMスワップ攻撃で認証が乗っ取られる
  攻撃者が携帯番号を自分のSIMに移すことで、SMSで届くコードを簡単に受信可能になります
  Secret Double Octopus

• MITMや認証疲労（MFA疲労攻撃）も深刻
  攻撃者がOTP自体をリアルタイムで中間傍受する「Man-in-The-Middle」攻撃や、MFA通知を大量に送りつけてユーザーに誤って承認させる手口があります
  Ace Cloud Hosting+5Resilience+5ウィキペディア+5

エンジニアのダニエル・ファン氏が指摘

We replaced passwords with something worse | Blog - Daniel Huang
https://blog.danielh.cc/blog/passwords

2. 悪質なAIボットによる電話詐欺という最新手口

• AI音声によるOTP詐取
  Kasperskyによる報告では、AIボットが銀行などを装って音声電話をかけ、OTPやその他情報をユーザーから聞き出す手口が確認されています
  The Sun

  コードが正規サービスからのものであるだけに、ユーザーが見破りにくいのが特徴です。

3. なぜOTPは「最悪のパスワードシステム」なのか？

• メールの安全性に依存しすぎ
  OTPを送信するメールアカウント自体が乗っ取られていれば意味がなく、同一デバイスで認証を受け取る場合のリスクも高いです
  TeamPasswordcheatsheetseries.owasp.org。

• 有効期限の遅延で攻撃の隙が生じる
  短時間での使用が求められますが、数分間の猶予があるOTPの場合、その間に攻撃可能な時間も生まれてしまいます
  help.oregonsaves.com。

• 従来よりはマシだが万能ではない
  OTPはパスワードより強固な手段とは言えますが、依然としてSMSやメールより安全な方法が必要です
  SC Mediaフォーブス。

4. 日本で見落とされがちな視点・海外の動向

• パスワードレス認証の台頭
  FIDO Allianceの推進するパスキー（Passkey）は、認証の未来として注目されています。日本でも採用や普及への動きが加速しています
  ウィキペディア+4Vox+4TechRadar+4

• World Password Day 2025での強調点
  パスワード管理、MFAの導入、パスワードマネージャーやパスキーの活用などが、セキュリティ文化として重視されるようになっています
  TechRadar

5. 実務的な対策提案

まとめ

ワンタイムパスワード（OTP）は手軽さゆえに広く浸透していますが、その安全性はもはや保障されていません。SMSの傍受、SIM乗っ取り、AIによる音声詐欺など、攻撃手法は多岐にわたり進化しています。OTPは“マシなパスワード”であって、決して「最強のセキュリティ」ではないという事実を認識し、より安全な認証方式への移行を真剣に検討する必要があります。

ひとりごと

「2段階認証はパスワードだけよりもマシ」程度のもので、ハッカーにとってはほとんど無意味

狙われたら THE END と自分は思っています。

ハッキングしても　その労力に対して得られるものが少なければ、コスト的に狙わない。

システムがネットに接続している限り　やぶられないものはない。

いつ何が起きても不思議ではない

そういう瀬会に自分たちは入っていることを忘れないようにしたい。