二要素認証とは？設定すべき理由を簡単に解説

GoogleやSNSにログインしようとすると「2段階認証を設定してください」とよく出てきます。

設定するの面倒くさい。でもこれを設定しないことで起きる被害が、近年とんでもないことになっているので、整理します。

「二要素」とは何のこと？

認証には大きく3つの「要素」があります：

1. 知識：自分が知っているもの（パスワード、暗証番号）
2. 所有：自分が持っているもの（スマホ、ハードウェアキー）
3. 生体：自分自身の特徴（指紋、顔、声）

「二要素」とは、このうち 異なる2つを組み合わせる こと。

代表的なのは「パスワード（知識）＋ スマホへのコード（所有）」の組み合わせ。

なぜパスワードだけじゃダメ？

パスワードは、現代のセキュリティでは もはや単体では弱すぎる 仕組みです。

• 漏洩：企業のデータベース流出で世界中に流れている（HaveIBeenPwnedで確認可能）
• 使い回し：1つのサイトの漏洩から他のサイトもログインされる
• 辞書攻撃：よくあるパスワードは数秒で破られる
• フィッシング：偽サイトに自分で打ち込んでしまう

つまり、パスワードはすでに漏れている前提 で考える必要があります。

ここで二要素認証が効く。パスワードが漏れてもログインされない という最後の防衛線。

2FAの種類

代表的な2FAの方法：

特にSMS認証は、SIMスワップ詐欺（電話番号の乗っ取り）で破られる事例が増加中。可能なら認証アプリかハードウェアキーへの切り替えを推奨します。

認証アプリの仕組み

「Google Authenticator」「Authy」などの認証アプリは、スマホに30秒ごとに変わる6桁の数字 を表示します。

サービス側もアプリ側も同じ秘密の計算式で6桁を生成しているので、6桁が一致 = あなたが本人 と判定する仕組み。

通信不要で動くので、海外旅行でデータ通信なしでも使えます。

SIMスワップ詐欺とは

最近増えている、電話番号を乗っ取られる詐欺。

1. 犯罪者が個人情報を集める（SNSなどから）
2. 携帯ショップ・キャリアに本人になりすまし「SIMを再発行したい」と申請
3. 新しいSIMが犯罪者の手元に届く
4. 被害者の電話番号が犯罪者の端末に乗り換わる
5. SMS認証コードも犯罪者に届き、銀行や仮想通貨が抜かれる

これがあるため、SMSを2FAに使うのは推奨されなくなりつつあります。

「パスキー」という新しい流れ

2024年以降、パスキー（Passkey）という新しい認証が急速に普及しています。

特徴：

• パスワード不要（顔認証や指紋認証だけでログイン）
• フィッシング耐性（偽サイトには通用しない）
• デバイス間で同期（iPhone → Mac、Android → ChromeBook）

Apple、Google、Microsoft が共同で推進しており、パスワードを完全に置き換える未来が来ていると言われます。

2FAを設定するべきサービス

優先度順：

1. 銀行・証券口座（資金直結、最重要）
2. 仮想通貨取引所（被害が高額になりがち）
3. メイン使用のメールアドレス（他のリセットの起点）
4. SNS（乗っ取られると人間関係が崩壊）
5. クラウドストレージ（情報が大量に流れる）
6. ECサイト（クレカ情報が登録されてる）

特に メイン使用のメールアドレス は、他のサービスのパスワードリセットの起点になるので、ここが乗っ取られると芋づる式にすべて持っていかれます。

2FAのデメリット

正直なところ：

• スマホを紛失すると、ログインできなくなる（リカバリーコードのバックアップ必須）
• 手間が増える（ログインに5秒余分にかかる）
• 古いサービスでは対応してない

特に スマホ紛失リスク は大きいので、必ず リカバリーコード（緊急時用の使い捨てコード）を紙にメモして保管しておくのが鉄則。

まとめ

• 二要素認証 = パスワード＋もう1つ別の認証を組み合わせる仕組み
• パスワードはもはや単体では弱すぎる（漏洩前提で考える時代）
• 認証アプリ・ハードウェアキー・パスキーが安全、SMSは推奨しない
• 銀行・メール・SNSなど被害が大きい順に最優先で設定
• リカバリーコードは紙でバックアップ必須

個人情報保護法やクラウドとも絡む、現代の必須リテラシー。

設定方法は各サービスのヘルプページで確認できます。特に Google アカウントの2段階認証、Apple ID の2ファクタ認証 は、最初に設定すべき2大重要アカウントです。