SNSにログインする。
ネット銀行を使う。
GoogleアカウントやApple IDで写真や連絡先を管理する。
今の時代、スマホひとつで多くのサービスを使えるようになりました。便利な一方で、もしアカウントを乗っ取られると、個人情報の流出、金銭被害、SNSの不正投稿、クレジットカードの不正利用などにつながる可能性があります。
そこで重要になるのが、二段階認証です。
結論から言うと、二段階認証は「パスワードが漏れても、すぐにログインされにくくするための追加のカギ」です。スマホ時代の基本的なセキュリティ対策として、できるだけ早めに設定しておきたい機能です。
二段階認証とは?
二段階認証とは、ログイン時に2つの確認ステップを使って本人確認を行う仕組みです。
たとえば、通常のログインでは、
- IDまたはメールアドレスを入力する
- パスワードを入力する
という流れが一般的です。
二段階認証を設定している場合は、さらに追加で、
- スマホに届いた認証コードを入力する
- 認証アプリに表示された6桁のコードを入力する
- スマホに表示された確認通知を承認する
- 指紋認証や顔認証を使う
- セキュリティキーやパスキーを使う
といった確認が必要になります。
Googleも、2段階認証について「パスワードが盗まれた場合でも、アカウントに追加の保護を加えられる」と説明しています。
「二段階認証」と「多要素認証」の違い
ここは少しややこしい部分です。
一般的には「二段階認証」と呼ばれることが多いですが、セキュリティの考え方としては多要素認証という言葉もあります。
多要素認証では、認証に使う要素を大きく次の3つに分けます。
| 認証の要素 | 例 |
|---|---|
| 知識情報 | パスワード、PIN、秘密の質問 |
| 所持情報 | スマホ、認証アプリ、セキュリティキー |
| 生体情報 | 指紋、顔、虹彩など |
たとえば、
パスワード+スマホの認証アプリ
でログインする場合は、「知識情報」と「所持情報」を組み合わせているため、多要素認証に近い考え方になります。
IPAも、不正ログイン対策として、パスワードを長く複雑にして使い回さないことに加え、多要素認証の設定を推奨しています。
なぜ二段階認証が必要なのか?
理由はシンプルです。
パスワードだけでは守りきれない場面があるからです。
たとえば、次のようなケースがあります。
- 複数のサービスで同じパスワードを使い回している
- フィッシング詐欺サイトにパスワードを入力してしまう
- 過去に利用したサービスから情報漏えいが起きる
- 簡単なパスワードを使っていて推測される
- 家族や知人とパスワードを共有してしまう
- メモやスクリーンショットでパスワードを保存している
IDとパスワードが第三者に知られると、SNS、ショッピングサイト、クラウドサービスなどに不正ログインされ、個人情報漏えいや金銭被害につながる可能性があります。IPAも、ID・パスワードが悪用されることで不正ログイン被害が発生すると説明しています。
二段階認証を設定しておけば、仮にパスワードが漏れたとしても、追加の認証を突破しないとログインできません。
つまり、二段階認証は「絶対に安全になる魔法」ではありませんが、アカウント乗っ取りのリスクを下げるための非常に重要な対策です。
二段階認証の主な種類
1. SMS認証
SMS認証は、スマホの電話番号あてに届く認証コードを入力する方法です。
多くの人にとって使いやすく、設定もしやすい方法です。何も設定していない状態よりは、SMS認証を設定したほうが安全性は高まります。
ただし、SMS認証には注意点もあります。
- SIMスワップなどの被害リスクがある
- 電波がない場所では使えない
- SMSを盗み見される可能性がある
- フィッシングサイトに認証コードを入力してしまうと突破される可能性がある
NISTのデジタル認証ガイドラインでは、SMSや音声通話を使う電話網経由の認証は制限付きの認証手段として扱われており、代替手段の提供やリスクへの配慮が求められています。
初心者向けに言えば、SMS認証は「設定しないよりは良い」が、最も強い方法ではないと考えるのが現実的です。
2. 認証アプリ
認証アプリは、Google Authenticator、Microsoft Authenticator、1Password、Authyなどのアプリに表示されるワンタイムコードを使う方法です。
SMSと違い、電話番号に依存しないため、SMS認証より安全性が高い場面があります。インターネット接続や電話回線が不安定でも、アプリ内のコードを使える場合があります。
ただし、認証アプリにも注意点があります。
- スマホを紛失するとログインできなくなる可能性がある
- 機種変更時に移行作業が必要になる
- 偽サイトにコードを入力すると悪用される可能性がある
そのため、認証アプリを使う場合は、必ずバックアップコードや予備の認証方法を設定しておくことが重要です。
3. プッシュ通知認証
プッシュ通知認証は、ログイン時にスマホへ「ログインを許可しますか?」という通知が届き、承認する方式です。
コードを入力する必要がないため、初心者でも使いやすい方法です。Googleも、確認コードを入力するよりもプロンプトをタップする方法を推奨する場面があり、SIMスワップなど電話番号ベースの攻撃対策にも役立つと説明しています。
ただし、知らないログイン通知が来たときに、よく確認せずに「許可」を押してしまうと危険です。
特に注意したいのが、認証疲れ攻撃です。
これは、攻撃者が何度もログイン通知を送り、利用者が面倒になって承認してしまうことを狙う手口です。NISTも、繰り返し認証要求を送って利用者に承認させる「authentication fatigue」への注意を示しています。
身に覚えのない通知は、必ず拒否してください。
4. パスキー
最近、注目されているのがパスキーです。
パスキーは、従来のパスワードの代わりに、スマホやPCの指紋認証、顔認証、画面ロックなどを使ってログインする仕組みです。
Googleは、パスキーについて「パスワードより簡単で安全な代替手段」と説明しており、指紋認証、顔認証、画面ロックでサインインできるとしています。さらに、パスキーはフィッシングなどの脅威に対して強い保護を提供し、推測や使い回しができない点も特徴とされています。
初心者向けに言うと、パスキーは、
スマホやパソコンそのものを安全なカギとして使うログイン方法
です。
対応しているサービスでは、今後かなり重要な認証方法になっていくと考えられます。
5. セキュリティキー
セキュリティキーは、USBやNFCなどで使う物理的な認証デバイスです。
Googleアカウント、Microsoftアカウント、各種クラウドサービスなどで利用できる場合があります。特に、仕事用アカウント、管理者アカウント、金融系サービス、重要なSNSアカウントなどでは有力な選択肢です。
ただし、一般ユーザーにとっては少しハードルが高く、購入費用や紛失時の対策も必要です。まずは認証アプリやパスキーから始め、必要に応じてセキュリティキーを検討するとよいでしょう。
どのアカウントから二段階認証を設定すべき?
すべてのサービスに設定するのが理想ですが、最初から完璧を目指す必要はありません。
優先順位をつけるなら、次の順番がおすすめです。
| 優先度 | アカウント | 理由 |
|---|---|---|
| 最優先 | Googleアカウント、Apple ID Microsoftアカウント | メール、写真、連絡先、スマホ本体と結びついているため |
| 最優先 | メールアカウント | 他サービスのパスワード再設定に使われるため |
| 高 | ネット銀行、証券、決済アプリ | 金銭被害に直結しやすいため |
| 高 | Amazon、楽天、Yahoo!などの通販サイト | 住所、支払い情報、購入履歴が含まれるため |
| 高 | SNSアカウント | なりすまし投稿、詐欺DM、信用低下につながるため |
| 中 | クラウドストレージ | 写真、書類、仕事データが保存されているため |
| 中 | ブログ、ASP、広告管理画面 | 収益やサイト運営に影響するため |
特に、メールアカウントは最重要です。
メールを乗っ取られると、他のサービスのパスワード再設定に悪用される可能性があります。
二段階認証を設定するときの実践ポイント
二段階認証は、ただオンにすれば終わりではありません。設定後の管理も重要です。
1. バックアップコードを保存する
二段階認証を設定すると、サービスによってはバックアップコードが発行されます。
これは、スマホを紛失したときや認証アプリが使えなくなったときにログインするための非常用コードです。
バックアップコードは、
- 紙に印刷して保管する
- パスワード管理アプリに保存する
- 家族と共有しない
- スクリーンショットでスマホ内だけに保存しない
といった管理が必要です。
スマホをなくしたとき、スマホの中にだけバックアップコードがあると意味がありません。
2. 予備の認証方法を設定する
可能であれば、認証方法は1つだけでなく、複数設定しておくと安心です。
例としては、
- 認証アプリ
- パスキー
- バックアップコード
- 予備のメールアドレス
- 予備の電話番号
- セキュリティキー
などがあります。
ただし、使っていない古い電話番号や、すでに使えないメールアドレスを登録したままにするのは危険です。定期的に見直しましょう。
3. 認証コードは絶対に他人に教えない
認証コードは、本人確認のための一時的なカギです。
たとえ相手が、
- 運営会社を名乗る
- 銀行を名乗る
- サポート担当を名乗る
- 家族や知人を装う
場合でも、認証コードを教えてはいけません。
Googleも、確認コードを他人と共有しないよう注意喚起しています。
「本人確認のためにコードを教えてください」と言われたら、詐欺の可能性を疑ってください。
4. 身に覚えのないログイン通知は承認しない
プッシュ通知型の認証では、通知が来るとつい反射的に押してしまいがちです。
しかし、身に覚えのないログイン通知は危険です。
ログインしようとしていないのに通知が来た場合は、
- 「拒否」を選ぶ
- パスワードを変更する
- ログイン履歴を確認する
- 不審な端末をログアウトする
- 必要に応じてサポートへ連絡する
といった対応をしましょう。
初心者におすすめの設定方法
初心者の方は、まず次の組み合わせがおすすめです。
最低限の設定
- 使い回ししていない強いパスワード
- SMS認証
- バックアップコードの保存
できれば設定したい内容
- 認証アプリ
- パスキー
- 予備のメールアドレス
- 予備の認証手段
さらに安全性を高めたい場合
- セキュリティキー
- パスワード管理アプリ
- 重要アカウントのログイン通知設定
- 定期的なログイン履歴確認
最初から完璧を目指す必要はありません。
まずは、Googleアカウント、Apple ID、メール、ネット銀行、SNSなど、重要なアカウントから設定しましょう。
二段階認証の注意点
二段階認証は強力な対策ですが、万能ではありません。
特に注意したいのは、次の点です。
フィッシング詐欺には引き続き注意が必要
認証アプリのコードやSMSコードを、偽サイトに入力してしまうと悪用される可能性があります。
そのため、ログイン画面を開くときは、
- メール内のリンクを安易に押さない
- 公式アプリやブックマークからアクセスする
- URLを確認する
- 怪しい日本語や不自然な文面に注意する
といった基本対策も必要です。
NISTも、手入力するワンタイムパスワードやアウトオブバンド認証は、フィッシング耐性があるとはみなされないと説明しています。
スマホ紛失時の対策が必要
二段階認証はスマホを使うことが多いため、スマホを紛失するとログインできなくなる可能性があります。
そのため、
- バックアップコードを保存する
- 予備端末にも認証方法を設定する
- 予備のメールアドレスを登録する
- スマホの画面ロックを必ず設定する
- 紛失時に遠隔ロックできる設定を確認する
といった準備が大切です。
古い電話番号やメールアドレスを放置しない
機種変更やメールアドレス変更をしたあと、古い情報を登録したままにしている人は少なくありません。
しかし、古い電話番号や使っていないメールアドレスが登録されたままだと、いざというときに本人確認ができなかったり、第三者に悪用されたりする可能性があります。
定期的にアカウント設定を見直しましょう。
まとめ:二段階認証はスマホ時代の必須対策
二段階認証は、スマホ時代に欠かせない基本のセキュリティ対策です。
重要なポイントは次のとおりです。
- 二段階認証は、パスワードに加えて追加の本人確認を行う仕組み
- パスワードが漏れても、すぐにログインされにくくなる
- SMS認証は設定しないより良いが、最も強い方法ではない
- 認証アプリ、パスキー、セキュリティキーも選択肢になる
- メール、スマホ連携アカウント、金融系、SNSから優先して設定する
- バックアップコードと予備の認証方法を必ず準備する
- 認証コードは絶対に他人に教えない
セキュリティ対策というと難しく感じるかもしれません。
しかし、二段階認証は一度設定しておけば、日常的なアカウント防御力を大きく高められる対策です。
まずは今日、GoogleアカウントやApple ID、メールアカウントなど、自分にとって一番重要なアカウントから設定を見直してみてください。
