多要素認証は、アカウントをパスワードだけで守らないための大切な設定です。
メール、SNS、通販、決済、銀行、Apple Account、Googleアカウント、Microsoftアカウントなどは、乗っ取られた時の影響が大きいため、早めに見直したいサービスです。
ただし、多要素認証を設定すれば何をしても安全になるわけではありません。
認証コードを偽サイトに入力したり、電話やDMの相手に伝えたりすると、本人確認を通されるおそれがあります。
この記事では、多要素認証を設定した方がいい理由、優先して設定したいサービス、認証コードを渡してはいけない理由、設定後に困らないための確認方法をまとめます。
・多要素認証を設定した方がいい理由
・優先して多要素認証を設定したいサービス
・認証コードを偽サイトや相手に渡してはいけない理由
・コード入力後や機種変更時に確認したいこと
多要素認証を設定した方がいい理由
多要素認証は、アカウントをパスワードだけで守らないための大切な設定です。
パスワードが流出した場合や、偽サイトに入力してしまった場合でも、もう一つの確認を挟むことで、すぐにログインされにくくできます。
ただし、多要素認証を設定すれば何をしても安全になるわけではありません。
認証コードを偽サイトに入力したり、相手に伝えたりすると、追加の本人確認を通されるおそれがあります。
・パスワードだけでは守り切れない
・乗っ取り被害を広げにくくする
・まず設定したいサービス
・設定しても油断できない場面
パスワードだけでは守り切れない
アカウントの乗っ取りは、パスワードが弱い時だけに起きるものではありません。
同じパスワードを複数のサービスで使い回していたり、偽サイトにIDとパスワードを入力してしまったりすると、別のサービスにも被害が広がるおそれがあります。
たとえば、通販サイト、SNS、メール、決済サービスで同じパスワードを使っている場合、どこか一つの情報が悪用されると、ほかのサービスにも試される可能性があります。
この時、パスワードだけでログインできる状態だと、相手にとって突破しやすい状態になります。
多要素認証は、パスワードとは別の確認を追加する仕組みです。
スマホに届く確認コード、認証アプリ、通知の承認、セキュリティキー、生体認証などを組み合わせることで、パスワードだけに頼らない守り方ができます。
IPAは、不正ログイン対策としてパスワードの適切な管理に加え、多要素認証の設定を案内しています。
パスワードを強くすることと、多要素認証を設定することは、どちらか一方ではなく一緒に考える対策です。
(出典:IPA公式サイト)
乗っ取り被害を広げにくくする
多要素認証を設定する一番の理由は、パスワードが知られた時の被害を広げにくくするためです。
ログイン時に追加の確認が必要になれば、IDとパスワードだけを知っている相手でも、すぐにアカウントへ入れない可能性が高まります。
特に、メールアカウントの乗っ取りは注意が必要です。
メールは、ほかのサービスのパスワード再設定や本人確認に使われることがあります。
メールに入られると、通販、SNS、クラウド、決済サービスなどへ影響が広がるおそれがあります。
SNSも優先度が高いサービスです。
乗っ取られると、知人へのなりすましメッセージ、投資や副業の勧誘、認証コードを聞き出す連絡などに使われる場合があります。
金融、決済、通販に関係するアカウントも、金銭被害や登録情報の変更につながりやすい場所です。
多要素認証は「面倒な追加操作」ではなく、被害が大きくなりやすいアカウントから順に設定するものとして考えると分かりやすくなります。
まず設定したいサービス
多要素認証は、すべてのサービスで一度に設定しようとすると負担になります。
まずは、乗っ取られた時の影響が大きいサービスから始めるのがおすすめです。
優先したいのは、次のようなアカウントです。
- メールアカウント
- SNS
- 通販サイト
- スマホ決済
- 銀行、証券、クレジットカード関連サービス
- クラウドストレージ
- Apple Account
- Googleアカウント
- Microsoftアカウント
この中でも、メール、金融、決済、SNSは早めに見直したいところです。
メールはほかのサービスの再設定に使われ、金融や決済はお金に直結し、SNSは知人への被害につながるおそれがあります。
金融サービスでは、フィッシングによる不正送金や不正取引への注意も呼びかけられています。
銀行や証券などで、パスキー認証などのより強い認証方法が用意されている場合は、後回しにせず設定を検討してください。
(出典:金融庁公式サイト)
設定しても油断できない場面
多要素認証は有効な対策ですが、設定しただけで完全に安全になるわけではありません。
特に注意したいのは、認証コードや承認通知を自分で相手に渡してしまう場面です。
たとえば、次のような行動は避けてください。
・メールやSMS内のリンクからログインする
・偽サイトに認証コードを入力する
・電話やDMの相手に認証コードを伝える
・身に覚えのないログイン通知を承認する
・バックアップコードを他人に見せる
多要素認証は、パスワードの後にもう一つの確認を足す仕組みです。
その「もう一つの確認」を相手に渡してしまうと、せっかくの守りが弱くなります。
身に覚えのない確認コードや通知が届いても、それだけで乗っ取りと決めつける必要はありません。
ただし、自分がログイン操作をしていないなら、コードを入力しない、通知を承認しない、相手に伝えないことが大切です。
多要素認証の方法と選び方
多要素認証には、SMS、認証アプリ、通知、パスキー、セキュリティキー、バックアップコードなど、いくつかの方法があります。
どれを選ぶかは、使っているサービス、スマホの管理状況、機種変更への備え、家族がサポートしやすいかによって変わります。
大切なのは、方法の名前を覚えることよりも、どの確認手段が何を守っているのかを知ることです。
設定する前に、登録情報や復旧手段も一緒に見直しておくと、あとで困りにくくなります。
・多要素認証で使う3つの要素
・SMSや認証アプリの違い
・パスキーやセキュリティキーの特徴
・バックアップコードの保管方法
・設定前に見直す登録情報
多要素認証で使う3つの要素
多要素認証は、本人確認に使う要素を複数組み合わせる考え方です。
代表的な要素は、知識情報、所持情報、生体情報の3つです。
知識情報は、本人が知っている情報です。
パスワードやPINがこれにあたります。
所持情報は、本人が持っているものを使う確認です。
スマホ、認証アプリ、SMSを受け取る電話番号、セキュリティキーなどが含まれます。
生体情報は、本人の身体的な特徴を使う確認です。
指紋認証や顔認証が例になります。
読者向けには、難しく考えすぎる必要はありません。
「パスワードだけでなく、自分のスマホや生体認証など、別の確認も使って守る仕組み」と考えると分かりやすいです。
SMSや認証アプリの違い
SMS認証は、スマホの電話番号宛てに届く確認コードを使う方法です。
多くの人にとって始めやすく、設定しやすい方法です。
ただし、SMSが届かない環境、電話番号の変更、機種変更、偽サイトでコードを入力してしまう場面には注意が必要です。
SMS認証が使えるからといって、届いたコードをどこにでも入力してよいわけではありません。
認証アプリは、スマホ上のアプリで一定時間ごとに変わるコードなどを使う方法です。
SMSを受け取れない時にも使いやすい場面があります。
一方で、認証アプリも機種変更時の引き継ぎが大切です。
古いスマホを手放す前に、新しい端末でログインできるか、バックアップ手段があるかを見直してください。
SMSも認証アプリも、設定しないより守りを増やせる方法です。
使える方法が複数ある場合は、サービスの公式ヘルプを見ながら、自分が管理しやすい方法を選ぶのが安全です。
パスキーやセキュリティキーの特徴
パスキーやセキュリティキーは、提供されているサービスでは優先して検討したい認証方法です。
金融サービスでも、フィッシングに強い多要素認証としてパスキー認証などの導入が進められています。
パスキーは、サービスによって使える条件や設定方法が異なります。
すべてのアカウントで同じように使えるとは限らないため、公式アプリや公式サイトの案内に沿って設定してください。
セキュリティキーは、物理的なキーを使う方法です。
所持情報として使える一方で、紛失時の備えが必要になります。
このような方法は便利ですが、仕組みを細かく理解してからでないと使えないものではありません。
まずは、自分が使っている主要サービスに、どの認証方法が用意されているかを公式画面から確認することが出発点です。
バックアップコードの保管方法
バックアップコードは、スマホを紛失した時や、通常の2段階認証が使えない時にログインするための予備手段です。
多要素認証のデメリットとしてよくある「スマホがないとログインできない」という困りごとに備える役割があります。
ただし、バックアップコードは他人に見せてよいものではありません。
ログインに使える予備の鍵なので、スクリーンショットを気軽に共有したり、家族LINEにそのまま送ったりする扱いは避けてください。
保管する時は、次の点を意識します。
・他人が見られる場所に置かない
・メール本文やチャットにそのまま残さない
・スマホ紛失時にも取り出せる形にする
・どのサービスのコードか分かるように管理する
・不要になった古いコードを放置しない
Googleは、バックアップコードについて、誰とも共有しないこと、ログイン時以外にGoogleが要求することはないことを案内しています。
バックアップコードは便利な保険ですが、扱い方を間違えると危険な情報にもなります。
(出典:Google アカウント ヘルプ)
設定前に見直す登録情報
多要素認証を設定する前に、登録情報も見直しておくと安心です。
古い電話番号や使えないメールアドレスが残っていると、機種変更や紛失時に復旧しにくくなることがあります。
見直したい項目は次の通りです。
・登録メールアドレス
・電話番号
・復旧用メールアドレス
・予備の電話番号
・ログイン中の端末
・使っていない古い端末
・連携アプリ
・保存済みパスワード
・同じパスワードの使い回し
設定は、メールやSMS内のリンクから進めないでください。
公式アプリ、ブックマーク済みの公式サイト、端末の設定画面、公式ヘルプから進む方が安全です。
Googleアカウント、Microsoftアカウント、Apple Accountなどは、個人用と職場、学校用で設定できる内容が異なる場合があります。
職場や学校のアカウントでは、自分だけで変更できず、管理者への確認が必要になることもあります。
怪しいメールやSMSから設定を促された時は、リンクを押して進めるのではなく、怪しいメールやSMSが本物か安全に確認する方法も参考にしてください。
認証コードを渡してはいけない理由
認証コードは、単なる数字ではありません。
ログインや本人確認を進めるために使われる、大切な確認情報です。
多要素認証を設定していても、認証コードを偽サイトに入力したり、相手に伝えたりすると、守りを通過されるおそれがあります。
「ワンタイムだから大丈夫」と考えず、ログインの鍵の一部として扱うことが大切です。
・認証コードはログインの鍵になる
・偽サイトに入力しない
・身に覚えのない通知は承認しない
・相手に聞かれても教えない
認証コードはログインの鍵になる
認証コードやワンタイムパスワードは、ログインや本人確認を通すために使われる情報です。
一定時間しか使えないものでも、その時間内に入力されれば、ログインや設定変更に使われるおそれがあります。
たとえば、相手があなたのIDとパスワードをすでに知っている場合、最後に必要なのが認証コードという場面があります。
そこでコードを伝えてしまうと、相手のログインを助けることになりかねません。
認証コードは、パスワードの補助ではありません。
本人確認を通すための鍵の一部です。
この考え方を持っておくと、SMSで届いたコード、認証アプリのコード、バックアップコード、ログイン承認通知を軽く扱わずに済みます。
誰かに急がされても、コードを見せる、読む、入力する前に止まることが大切です。
偽サイトに入力しない
フィッシングでは、実在する組織を装ったメールやSMSから偽サイトへ誘導し、ID、パスワード、暗証番号、クレジットカード番号などを入力させる手口があります。
認証コードも、同じように偽サイトへ入力させられることがあります。
フィッシング対策協議会は、フィッシングを、実在する組織をかたり、ユーザー名、パスワード、アカウントID、暗証番号、クレジットカード番号などを詐取する行為として説明しています。
メールやSMSの見た目だけで、本物かどうかを判断するのは危険です。
(出典:フィッシング対策協議会公式サイト)
偽サイトに認証コードを入力すると、相手がそのコードを使ってログインを進めるおそれがあります。
「一度だけのコードだから入力しても平気」とは考えないでください。
本物か迷う場合は、メールやSMS内のリンクではなく、公式アプリやブックマーク済みの公式サイトから確認してください。
ログインが必要な場合も、受信したメッセージのリンクからではなく、自分で安全な入口を開くことが大切です。
偽サイトにIDやパスワードを入力した可能性がある場合は、偽サイトにIDやパスワードを入力した時の確認手順も参考になります。
身に覚えのない通知は承認しない
スマホにログイン承認の通知が出た時は、自分が今ログイン操作をしているかを先に考えてください。
自分が操作していないのに通知が出た場合、その承認が第三者のログインを通してしまうおそれがあります。
承認する前に、次の点を確認します。
・自分が今そのサービスにログインしようとしているか
・表示されたサービス名に心当たりがあるか
・ログイン先や端末の表示に違和感がないか
・通知の内容が取引や設定変更に関係していないか
・少しでも覚えがない場合は承認しない
通知が来たことだけで、必ず乗っ取られたとは限りません。
ただし、自分が操作していない通知を承認する必要はありません。
特に銀行や決済に関係する通知では、表示される内容をよく見てください。
身に覚えのない認証や取引に関する通知は、進めずに止まることが大切です。
相手に聞かれても教えない
認証コードは、電話、DM、メール、チャットで聞かれても教えないでください。
相手が知人を名乗っていても、公式サポートを名乗っていても、コードを伝える必要があるかは慎重に考える必要があります。
IPAは、SNSの知り合いになりすました相手に認証コードを教えた結果、不正ログインされ、パスワードや登録情報を変更された相談事例を紹介しています。
知っている人の名前で連絡が来ても、その人のアカウント自体が乗っ取られている場合があります。
(出典:IPA公式サイト)
次のような言い方をされても、認証コードは伝えないでください。
・本人確認のために必要です
・今すぐ教えないとアカウントが止まります
・代わりに手続きするのでコードを送ってください
・届いた数字を読み上げてください
・画面に出た番号を入力してください
相手が急がせるほど、一度止まることが大切です。
公式窓口かどうか分からない連絡で、認証コードを伝える必要はありません。
設定後に困らないための対処
多要素認証は、設定して終わりではありません。
認証コードを入力してしまった時、通知を承認してしまった時、スマホを機種変更する時、家族が代わりに確認する時に、落ち着いて動けるようにしておくことが大切です。
不安な時ほど、メールやSMS内のリンクを何度も開かず、公式アプリや公式サイトから状況を確認してください。
入力した情報の種類によって、優先する対応は変わります。
・コードを入力した時の確認順
・ログイン履歴と登録情報を見る
・カードや銀行情報が関係する場合
・家族が代わりに確認する時
・機種変更や紛失に備える
コードを入力した時の確認順
認証コードを偽サイトに入力した、相手に伝えた、身に覚えのない通知を承認した場合は、まず対象サービスを切り分けます。
どのサービスのコードだったのかが分からないまま動くと、必要な対応が遅れます。
確認の順番は次の通りです。
- どのサービスの認証コードだったかを思い出す
- メールやSMS内リンクは使わず、公式アプリや公式サイトを開く
- ログインできるか確認する
- ログイン履歴や登録情報を見る
- パスワード変更を検討する
- 多要素認証の再設定を確認する
- 他端末からのログアウトを検討する
- ログインできない場合は公式サポートへ相談する
IDやパスワードも入力していた場合は、パスワード変更の優先度が上がります。
同じパスワードをほかのサービスでも使っている場合は、使い回し先も見直してください。
認証コードだけを入力した場合でも、何もしなくてよいとは限りません。
コードがログインや設定変更に使われるおそれがあるため、公式画面から状況を見てください。
ログイン履歴と登録情報を見る
ログインできる場合は、まずアカウント内の状態を確認します。
見る場所はサービスによって違いますが、確認したい内容は共通しています。
次の項目を確認してください。
・ログイン履歴
・登録メールアドレス
・電話番号
・復旧用メールアドレス
・連携アプリ
・支払い方法
・注文履歴
・利用履歴
・ログイン中の端末
・パスワード変更履歴
見覚えのない端末、知らないメールアドレス、変更された電話番号、不要な連携アプリがある場合は注意が必要です。
ログインできるうちに、パスワード変更、多要素認証の再設定、他端末からのログアウトを検討してください。
警察庁は、不正アクセスへの対応として、パスワード変更、サービス提供会社への連絡、ログイン履歴や相談経緯の保存を案内しています。
相談が必要になった時に備え、画面のスクリーンショットや通知メールも残しておくと説明しやすくなります。
(出典:警察庁公式サイト)
カードや銀行情報が関係する場合
認証コードだけでなく、クレジットカード番号、銀行口座、暗証番号、認証情報、決済に関わる情報を入力した場合は、対応の優先度が上がります。
アカウントの確認だけで終わらせず、利用明細や入出金履歴も見てください。
クレジットカード番号を入力した場合は、カード会社の公式窓口で利用停止や再発行を相談してください。
メールやSMSに載っている連絡先ではなく、カード裏面、公式アプリ、公式サイトなどの安全な入口から確認することが大切です。
銀行情報、暗証番号、認証情報を入力した場合は、金融機関の公式窓口へ相談してください。
不審な入出金や登録情報の変更がないかも見てください。
この場面では、次の情報を残しておくと相談しやすくなります。
・入力した日時
・入力した情報の種類
・届いたメールやSMS
・表示された画面のスクリーンショット
・相手とのやり取り
・利用明細や入出金履歴
・サービス会社へ相談した経緯
不安でも、慌てて検索結果やメッセージ内の電話番号へ連絡しないでください。
公式アプリや公式サイトから確認することが、余計な被害を避けるために重要です。
家族が代わりに確認する時
親や高齢の家族が認証コードを伝えた可能性がある時は、まず責めないことが大切です。
怒られそうだと感じると、本人が入力した内容や相手とのやり取りを言い出しにくくなります。
最初に聞くことは、次のように具体的にします。
・どのサービスの画面だったか
・何を入力したか
・認証コードを誰に伝えたか
・カードや銀行の画面まで進んだか
・アプリを入れるよう言われたか
・電話で指示されたか
・いつ頃の出来事か
・届いたSMSやメールが残っているか
本人だけで追加対応を進めさせないことも大切です。
メールやSMS内リンクをもう一度開かせず、家族が一緒に公式アプリや公式サイトから確認してください。
スクリーンショット、日時、入力した情報、相手とのやり取りを整理すると、サービス会社や相談先へ説明しやすくなります。
家族で確認する場合は、本人の不安を減らしながら、何が起きたかを一つずつ分けて聞くことが大切です。
親や家族がIDやパスワードを入力した可能性がある時は、親がIDやパスワードを入力した時に家族が確認することも参考にしてください。
機種変更や紛失に備える
多要素認証のデメリットとして、スマホの機種変更や紛失時にログインしにくくなることがあります。
これは、設定しない理由ではなく、予備手段を用意しておく理由として考えてください。
機種変更前には、次の点を見直します。
・新しい端末でログインできるか
・認証アプリの引き継ぎが必要か
・登録電話番号が今も使えるか
・復旧用メールアドレスが使えるか
・バックアップコードを安全に保管しているか
・古い端末にログイン状態が残っていないか
スマホを紛失した場合は、対象サービスの公式ヘルプから、紛失端末からのログアウトやパスワード変更などを確認します。
予備の認証方法がないと、本人でもログインに時間がかかることがあります。
多要素認証は、設定した瞬間だけでなく、その後の管理も大切です。
登録情報を古いままにせず、使わなくなった端末や連携アプリも定期的に見直してください。
記事のまとめ
・多要素認証はパスワードだけに頼らないための設定
・パスワード流出時の不正ログイン対策として役立つ
・メールアカウントは他サービスにも影響しやすい
・SNSはなりすまし連絡に使われるおそれがある
・金融や決済サービスは早めに設定を見直したい
・設定はメールやSMS内リンクから進めない
・公式アプリやブックマーク済み公式サイトから確認する
・認証コードはログインを通す鍵の一部として扱う
・偽サイトに認証コードを入力しないことが大切
・身に覚えのないログイン通知は承認しない
・電話やDMで認証コードを聞かれても教えない
・バックアップコードは他人に見せず安全に保管する
・登録メールアドレスや電話番号もあわせて見直す
・コード入力後はログイン履歴と登録情報を確認する
・カードや銀行情報を入力した場合は公式窓口へ相談する
・家族が確認する時は責めずに入力内容を聞き取る
・機種変更前に認証アプリや復旧手段を確認する
