二要素認証 (2FA) とは
二要素認証 (2FA: Two-Factor Authentication) は、パスワードに加えてもう一つの認証要素を要求することで、アカウントのセキュリティを強化する仕組みです。
認証の「要素」は大きく 3 つに分類されます。
- 知識要素:あなたが知っているもの (パスワード、PIN)
- 所持要素:あなたが持っているもの (スマートフォン、セキュリティキー)
- 生体要素:あなた自身の特徴 (指紋、顔認証)
2FA では、これらのうち 2 つの異なる要素を組み合わせます。パスワード (知識) とスマートフォンのコード (所持) の組み合わせが最も一般的です。
なぜパスワードだけでは不十分なのか
パスワードのみの認証には、以下のリスクが伴います。
- フィッシング攻撃:偽のログインページでパスワードを盗まれる
- データ漏洩:サービス側のセキュリティ侵害でパスワードが流出する
- ブルートフォース攻撃:総当たりでパスワードを解読される
- キーロガー:マルウェアによるキー入力の記録
- ソーシャルエンジニアリング:人間の心理を突いてパスワードを聞き出す
2FA を有効にしていれば、たとえパスワードが漏洩しても、攻撃者は第二の認証要素を持っていないためログインできません。
2FA の種類
SMS 認証
ログイン時に、登録した電話番号へ SMS で送信される 6 桁のコードを入力する方式です。最も普及していますが、SIM スワップ攻撃 (電話番号の乗っ取り) や SMS の傍受リスクがあるため、セキュリティ面では最も脆弱な 2FA 方式です。
TOTP (時間ベースのワンタイムパスワード)
Google Authenticator、Authy、Microsoft Authenticator などのアプリが、30 秒ごとに新しい 6 桁のコードを生成する方式です。SMS より安全で、オフラインでも利用できます。
TOTP の仕組みは、サーバーとアプリが共有する秘密鍵と現在時刻から同一のアルゴリズムでコードを生成するというものです。ネットワーク通信が不要なため、傍受のリスクがありません。
FIDO2/WebAuthn (セキュリティキー)
YubiKey などの物理的なセキュリティキーや、スマートフォンの生体認証を使用する方式です。フィッシング攻撃に対して最も強い耐性を持ちます。
FIDO2 の特筆すべき点は、認証がドメインに紐づいている点です。偽サイトでは認証が成立しないため、フィッシング攻撃を根本的に防止できます。
プッシュ通知
ログイン時にスマートフォンへプッシュ通知が送信され、「承認」ボタンをタップするだけで認証が完了する方式です。操作性に優れる一方、「MFA 疲労攻撃」 (大量の承認リクエストを送りつけて誤タップを誘う手口) のリスクがあります。
2FA の設定方法
主要なサービスでの 2FA 設定手順の概要です。
- サービスのセキュリティ設定ページを開く
- 「二要素認証」「2 段階認証」などの項目を探す
- 認証方式を選択 (TOTP アプリを推奨)
- QR コードを TOTP アプリでスキャン
- 表示されたコードを入力して設定完了
- リカバリーコードを安全な場所に保存する
リカバリーコードの重要性
2FA 設定時に発行されるリカバリーコード (バックアップコード) は、スマートフォンを紛失した場合などにアカウントへアクセスするための最後の手段です。紙に書いて安全な場所に保管するか、パスワードマネージャーに保存しておきましょう。
2FA の推奨設定
セキュリティ強度の高い順に、推奨される 2FA 方式を紹介します。
- FIDO2 セキュリティキー (最強) :フィッシング耐性あり
- TOTP アプリ (推奨) :オフライン動作、傍受リスクなし
- プッシュ通知 (良好) :使いやすいが、MFA 疲労攻撃に注意
- SMS 認証 (最低限) :ないよりはるかに良いが、SIM スワップリスクあり
どの方式であれ、2FA を有効にすることでアカウントのセキュリティは大幅に向上します。まだ設定していないサービスがあれば、今すぐ有効にすることをおすすめします。
パスワードセキュリティの記事とあわせて、アカウント保護を強化しましょう。