本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

学習

#セキュリティ基礎#MFA#パスワード管理#フィッシング対策

二要素認証(MFA)の正しい選び方:SMSより強い「フィッシング耐性」とは

二要素認証(MFA/二段階認証)を付ければ安全、ではありません。SMS・認証アプリ・パスキー/物理キーには『強さの階層』があり、SMSはフィッシングやSIMスワップで破られます。なぜ方式で強さが3段変わるのか、『フィッシング耐性』とは何か、どのアカウントに何を付けるべきかを、当サイトの運用視点で解説します。

公開日 2026-06-12 更新日 2026-06-12 9分で読める

対象:アカウントに二要素認証(MFA/二段階認証)を付けようとしている人、すでに付けているが「SMSでいいの?」と迷っている人。攻撃の手口そのものは扱わず、どの方式が強く、何にどれを付けるべきかを整理します。

当サイトの視点:『MFAあり』はチェックボックスではない

セキュリティ設定でよく見る「二要素認証:オン」は、実は強さの情報をほとんど持っていません。同じ「オン」でも、SMSとパスキーでは守れる攻撃がまるで違う。多くの乗っ取りは「MFAが無かった」ではなく「弱いMFAだった」せいで起きます。だから当サイトは、重要アカウントについては「MFAの有無」ではなく「フィッシング耐性があるか否か」で評価することを勧めています。

なぜMFAが要るのか

パスワードは、単体では「いつか漏れる前提」で考えるべきものです。使い回し・漏えい流出・推測・フィッシング——破られる経路はいくつもあります。MFAは、その1枚目が破られても2枚目で止めるための保険です。

1枚目
パスワードはいつか漏れる前提で考える
+1要素
2枚目があれば漏洩だけでは入られない
3段階
方式で守れる攻撃がまるで違う
王国の鍵
メール乗っ取りは全アカウントのリセット権

特に重要なのがメールアカウントです。多くのサービスは「パスワードを忘れた」をメールで復旧させるので、メールを取られた瞬間に他のアカウントも芋づる式にリセットされます。だからメールこそ最強のMFAで守るべき「王国の鍵」です(→ 最低限チェックリストのTier 0)。

強さの階層(ここが本質)

同じ「二要素認証」でも、方式によって強さはまるで違います。左ほど弱く、右ほど強い。分かれ目は**「偽サイトに出せてしまうか」**です。

✗ SMS / メール

数字を手入力。中継フィッシング・SIMスワップで突破

△ 認証アプリ(TOTP)

SMSより強いが、コードを偽サイトに中継されうる

○ パスキー

端末の生体認証。ドメイン紐付けでフィッシング耐性

◎ 物理セキュリティキー

FIDO2の専用キー。最も堅い・予備キー推奨

左ほど弱く、右ほど強い。分かれ目は『偽サイトに出せてしまうか』。パスキー/物理キーは原理的に出せない。

SMS / メールのコード

  • コードはただの数字列=偽サイトにも貼れてしまう
  • SIMスワップ(電話番号の乗っ取り)で受信を奪われる
  • 中継フィッシングで「本物に転送」されると無力
  • 無いよりは良いが、最後の砦にはならない

パスキー / 物理キー(FIDO2)

  • 鍵がアクセス先のドメインに紐づく=偽サイトでは署名が出ない
  • 原理的にフィッシング耐性(人間の判断に頼らない)
  • 端末の生体認証や専用キーで盗める"文字列"が無い
  • 王国の鍵にはこれを使う

「フィッシング耐性」とは何か

ここがいちばん大事な概念です。SMSや認証アプリのコードは、結局人間が「正しいサイトに入れているか」を目で判断しなければなりません。でも本物そっくりの偽ドメインを人は見分けられない。一方パスキーや物理キー(FIDO2)は、鍵そのものが「どのドメイン向けか」を覚えているので、偽サイトに対しては署名を返しません。つまり人間が騙されても、鍵が騙されない。これが「フィッシング耐性」で、弱い方式と強い方式を分ける決定的な違いです。

どう設定するか(順番が大事)

1

まず王国の鍵から

メール・ドメイン登録業者・サーバ管理パネル・決済アカウントに、フィッシング耐性MFA(パスキー/物理キー)を最優先でかける。ここを取られると他が全部無効化されるため(→ 最低限チェックリスト)。
2

パスワードマネージャ本体にもMFA

日常のログインを預けるパスワードマネージャは、それ自体が王国の鍵。マスターパスワード+MFAで二重化する(→ パスワードの安全な保管)。
3

対応していなければ認証アプリ(TOTP)

パスキー非対応のサービスでは、SMSではなく認証アプリを選ぶ。SMSは他に選択肢が無いときの最終手段。
4

リカバリーコードを安全に保管

MFAは「端末を失くしたら入れない」リスクと裏表。発行されるリカバリーコードは、パスワードマネージャの安全なメモや暗号化済みの保管先に控える。平文の表計算には置かない。
5

予備の手段を1つ用意

物理キーは予備をもう1本、パスキーは複数端末に同期、というようにバックアップ経路を作る。鍵を1つしか持たないと、紛失時に締め出される。

MFAを付けても、パスワードの使い回しはやめる

MFAは保険であって、弱いパスワードの言い訳にはなりません。フィッシング耐性のないMFA(SMS等)しか付けられないサービスでは、パスワードの強さと一意性が依然として最後の砦です。強さは パスワード強度チェッカー で確認できます。

当サイトはどうしているか

当サイトは、重要アカウント——とりわけメールとドメイン、サーバ管理、決済——を、可能な限りフィッシング耐性のあるMFAで固めています。理由はシンプルで、これらは「1つ取られると全部取られる」王国の鍵だからです。日常のログインはパスワードマネージャで管理し、そのマネージャ自体にもMFAをかける。そして「MFAをオンにした」で終わらせず、定期的にどの方式が掛かっているかを見直しています。SMSしか掛かっていない重要アカウントを見つけたら、それは"穴"として優先的にパスキー/物理キーへ格上げします。有無ではなく、強さで管理する——これが当サイトの方針です。

次に読む

よくある質問

Q二要素認証(MFA)を付ければ安全ですか?
A

付けないより遥かに安全ですが、『付けた=安全』ではありません。方式で強さが3段違い、SMSやメールのコードはフィッシング(偽サイトにコードを誘導される中継攻撃)やSIMスワップで破られます。重要アカウントには、偽サイトには出せないパスキー/物理キー(フィッシング耐性MFA)をかけてください。

QSMS認証はなぜ弱いと言われるのですか?
A

コードがただの数字列で、入力先が本物か偽物かを人間が判断するしかないからです。本物そっくりの偽サイトにコードを入れさせる中継フィッシングや、電話番号を乗っ取るSIMスワップで突破されます。無いよりは良いですが、最後の砦にはなりません。

Q結局どの方式を選べばいいですか?
A

最も強いのはパスキー(端末の生体認証)と物理セキュリティキー(FIDO2)です。これらはアクセス先のドメインに鍵が紐づくため、偽サイトでは原理的に署名が出ません=フィッシング耐性。対応していないサービスでは認証アプリ(TOTP)を使い、SMSは選べる選択肢が他に無いときの最終手段にします。