「ログインするには、スマホに届く6桁の数字を入力してください」
ネットでお買い物をしたり、SNSの設定を変えたりするとき、こんな画面をよく見かけますよね。これが**「2要素認証(2FA)」**です。まずは、この仕組みを整理しましょう。
1. 「2要素」ってなに?
認証の世界では、本人を確認するための「証拠」を3つのグループに分けて考えています。そのうちの2つのグループを組み合わせるから「2要素」認証と呼びます。
- 知識(知っていること): パスワード、秘密の質問
- 所持(持っているもの): スマホ(SMS)、セキュリティキー、銀行のトークン
- 生体(自分自身): 指紋、顔(Face ID)、瞳(虹彩)
「パスワード(知識)」に加えて、「スマホに届く数字(所持)」を確認することで、もしパスワードが盗まれても犯人はログインできない……という二段構えの作戦です。
2. 忍び寄る「2要素認証の罠」
一見完璧に見えるこの作戦ですが、実は大きな弱点があります。それが**「数字を盗まれる」**という罠です。
- 罠①:偽の画面(フィッシング) 犯人は本物そっくりの偽サイトを作ります。あなたがパスワードを入力すると、犯人はリアルタイムで本物のサイトにそれを入力します。すると、あなたのスマホに「6桁の数字」が届きます。それを偽サイトに入れてしまうと、犯人はその数字も盗んで、あなたの代わりにログインしてしまいます。
- 罠②:SIMスワップ(番号の乗っ取り) 悪意のある人があなたになりすまして携帯ショップに行き、SIMカードを再発行してしまう手口です。あなたのスマホから電波が消え、犯人のスマホに認証コードが届くようになります。
3. パスキーは「数字の罠」にかからない
ここで、すでに紹介しているパスキーがより安全です。
パスキーも「スマホを持っている(所持)」と「指紋や顔(生体)」を組み合わせた2要素認証の一種ですが、「人間が数字を読み取って入力する」という隙がありません。
デバイス同士が裏側で「このサイトは本物か?」を自動で確認し合うため、人間が偽サイトに騙されようとしても、技術的にログインを拒否してくれるのです。
最後までお読み頂き、ありがとうございます。
免責事項 2要素認証(SMSやアプリによる認証)は、パスワードのみの運用よりは遥かに安全です。本記事は、より高度な攻撃に対する脆弱性を指摘するものであり、現在設定されている2要素認証を解除することを推奨するものではありません。
コメント