yuki
yuki
以前、姉妹サイトが不正アクセスを受け、サーバーの移転まで行ったことがあります。それ以来、重要なアカウントはパスワードだけで守らないようにしています。
カオチャイ
カオチャイ
2FAを設定するだけでも安全性は上がりますが、対応しているサービスではパスキーを優先した方がよいのですね。
この記事でわかること
  • 2FAとパスキーの違い
  • 認証アプリとSMS認証の安全性
  • パスキーがフィッシングに強い理由
  • パスワードを保存するときの注意点
  • 端末を紛失した場合に備える方法
もくじ

2FAとパスキーはどちらを使うべきか

対応しているサービスであれば、私はパスキーを優先しています。

パスキーを利用できない場合は、認証アプリを使った2FAを設定し、SMSやメール認証は予備の手段として使います。

認証方法 安全性 フィッシング耐性 使いどころ
パスワードのみ 低い なし 単独では使わない
SMS・メール認証 パスワードのみより高い なし 他の方法がない場合
認証アプリ 高い なし 一般的な2FAとして使いやすい
パスキー 高い 高い 対応サービスでは優先

認証アプリのワンタイムコードは安全性の高い方法ですが、偽サイトへ自分でコードを入力すると盗まれる可能性があります。

一方、パスキーは登録したサイトを認証時に確認する仕組みがあるため、よく似た偽サイトへ認証情報を渡しにくい点が大きな違いです。

2FA(二要素認証)とは

Google Authenticatorによる2FA認証アプリとして広く使われているGoogle Authenticator

2FAは「Two-Factor Authentication」の略で、日本語では二要素認証と呼ばれます。

パスワードだけでなく、異なる種類の認証要素を組み合わせて本人確認を行う仕組みです。

主な認証要素

  • 知識情報:パスワードや暗証番号
  • 所持情報:スマートフォンやセキュリティキー
  • 生体情報:指紋や顔

一般的な2FAでは、最初にIDとパスワードを入力し、続いてスマートフォンへ届くコードや認証アプリに表示されたコードを入力します。

パスワードが漏れても、二つ目の認証を突破されなければ、不正ログインを防げる可能性が高くなります。

2FAには複数の方式がある

「2FAを設定していれば、どの方式でも同じ」というわけではありません。

SMS認証

携帯電話番号へワンタイムコードを送る方法です。設定は簡単ですが、偽サイトへの入力、電話番号の乗っ取り、SMSの転送などに注意が必要です。

メール認証

登録したメールアドレスへコードや確認リンクを送ります。メールアカウント自体を乗っ取られると、他のサービスまで連続して侵入される危険があります。

認証アプリ

Google Authenticatorなどのアプリが一定時間ごとにコードを発行します。SMSを受信できない環境でも使えますが、偽サイトへコードを入力する攻撃は防げません。

セキュリティキー

USBやNFCに対応した専用機器を使う方式です。フィッシング耐性が高い一方、紛失に備えて予備キーや別の復旧方法が必要です。

2FAのメリット

  • パスワードが漏れても、不正ログインを防ぎやすい
  • 多くのサービスで追加料金なしに利用できる
  • 認証アプリなら携帯電波がない場所でもコードを確認できる
  • ログイン通知と併用すれば異常に気づきやすい

2FAの注意点

スマートフォンを紛失したり、機種変更前に設定を移行し忘れたりすると、自分自身がログインできなくなることがあります。

2FAを有効にするときは、表示された復旧コードを必ず保存してください。

2FAを設定するときに残すもの

  • 復旧コード
  • 登録した電話番号とメールアドレス
  • 予備の認証方法
  • サービスの問い合わせ窓口

復旧コードをスマートフォンのスクリーンショットだけで保存すると、端末を紛失したときに一緒に失います。紙、暗号化した保管場所、別の安全な端末などへ分けて保存しておく方が安心です。

yuki
yuki
2FAを設定した直後は安心してしまいがちですが、復旧コードを保存するところまでが設定作業です。

パスキーとは

公開鍵暗号を利用したパスキーの仕組み参照:トレンドマイクロ

パスキーは、パスワードの代わりに公開鍵暗号を使ってログインする認証方法です。

登録時に、利用者側へ秘密鍵、サービス側へ公開鍵が作成されます。ログイン時には利用者側の秘密鍵で認証処理を行い、サービス側が公開鍵を使って本人であることを確認します。

秘密鍵そのものをサービスへ送信することはありません。

パスキーでログインするときの流れ

  1. ログインするサービスを開く
  2. 登録済みのスマートフォンやPCで認証する
  3. 指紋、顔認証、端末のPINなどで本人確認する
  4. 端末内の秘密鍵を使って認証処理が行われる

画面上では指紋や顔を使いますが、指紋データや顔写真がサービスへ送られるわけではありません。生体認証は、端末内のパスキーを利用してよい本人かどうかを確認するために使われます。

FIDO2とは何ですか?

FIDO2は、パスワードに依存しない認証を実現するための標準です。Webサービスとブラウザ間の認証を扱うWebAuthnと、スマートフォンやセキュリティキーなどの認証器を連携させるCTAPを中心に構成されています。

パスキーには同期型と端末固定型がある

パスキーは、すべて同じ方法で保存されるわけではありません。

同期型パスキー

Google、Apple、Microsoftなどのアカウントを通じて、同じ利用者の複数端末で利用できる方式です。スマートフォンを買い替えたあとも引き継ぎやすい利点があります。

端末固定型パスキー

特定の端末やハードウェアセキュリティキーに保存する方式です。別の端末へ自動同期されないため、紛失や故障に備えて予備の認証手段が必要です。

同期型であっても、同期元となるGoogle、Apple、Microsoftなどのアカウントが安全でなければなりません。パスキーを保存するアカウント自体にも、強い認証を設定しておきましょう。

パスキーがフィッシングに強い理由

パスキーは、登録したサービスのドメインと認証情報を結び付けて利用します。

本物そっくりの偽サイトを開いても、登録先のドメインが異なれば、そのサイト用のパスキーとして認証できません。

パスワードやワンタイムコードのように、利用者が文字列を偽サイトへ入力する仕組みではないため、フィッシングへの耐性が高くなります。

パスキーで防ぎやすくなる攻撃

  • 偽サイトへパスワードを入力させるフィッシング
  • 漏えいしたパスワードを使った不正ログイン
  • 使い回したパスワードによる連鎖的な侵入
  • ワンタイムコードをリアルタイムで盗む攻撃

ただし、パスキーを設定すれば端末自体の管理が不要になるわけではありません。

第三者にロック解除された端末を渡した場合や、同期元のアカウントを乗っ取られた場合には、不正利用の危険が残ります。

パスキーのメリット

  • 長いパスワードを覚えなくてよい
  • 指紋、顔認証、端末のPINで素早くログインできる
  • 秘密鍵がサービス側へ送信されない
  • パスワードの使い回しが起きない
  • 偽サイトへ認証情報を渡しにくい

FX-EAラボでも、対応している重要サービスは可能な範囲でパスキーへ移行しています。

パスワードと認証アプリを入力するより操作が短く、日常的に使うアカウントほど利便性も感じやすい方法です。

パスキーの注意点

パスキーを使えるサービスは増えていますが、すべてのサイトやアプリが対応しているわけではありません。

  • サービスによって登録方法や復旧方法が異なる
  • 古い端末やブラウザでは利用できない場合がある
  • スマートフォンの紛失や故障に備える必要がある
  • 同期元アカウントの保護も必要になる
  • パスワードを完全には廃止していないサービスもある

特に注意したいのは、パスキーを設定しても、弱いパスワードや安全性の低い復旧方法が残っているケースです。

攻撃者はパスキーそのものではなく、メールによるパスワード再設定や、サポート窓口での本人確認を狙うことがあります。

パスキーを登録したあとも、復旧用メールアドレス、電話番号、予備の認証方法を確認してください。

パスワード・2FA・パスキーの違い

三つの認証方法は、どれか一つを選べばよいとは限りません。サービスの対応状況に合わせて組み合わせます。

比較項目 パスワード 2FA パスキー
入力方法 文字列を入力 パスワード+追加認証 端末のPIN・生体認証など
使い回し 起きやすい パスワード部分で起きる サービスごとに異なる鍵を使用
フィッシング耐性 低い 方式による 高い
紛失時の備え 再設定用メールなど 復旧コード・予備端末 同期端末・予備キー・復旧手段
おすすめ度 単独利用は避ける パスキー非対応時に有効 対応サービスでは優先

現実的には、パスキーへ完全移行できないサービスも残っています。

その場合は、サービスごとに異なるパスワードを設定し、認証アプリによる2FAを追加するのが基本です。

パスワードは管理ツールへ保存する

長く複雑なパスワードをサービスごとに覚えるのは現実的ではありません。

覚えやすさを優先すると、短いパスワードや使い回しが増えるため、ブラウザ内蔵型を含むパスワードマネージャーへ保存する方が安全に管理しやすくなります。

パスワード管理で確認すること

  • サービスごとに異なるパスワードを自動生成する
  • 管理用アカウントへ2FAまたはパスキーを設定する
  • パソコンとスマートフォンに画面ロックを設定する
  • 共有端末へパスワードを保存しない
  • 不審な拡張機能やソフトを入れない

有料サービスだから必ず安全、ブラウザ内蔵型だから危険という単純な違いではありません。

パスワードを保存しているGoogle、Apple、Microsoft、1Passwordなどのアカウント自体を、パスキーや2FAで保護することが重要です。

yuki
yuki
私は重要なアカウントほど、自分で考えたパスワードを使わず、管理ツールで長い文字列を自動生成しています。

重要なアカウントから認証を見直す

すべてのサービスを一度に変更する必要はありません。侵害された場合の影響が大きいアカウントから順番に見直します。

優先して保護したいアカウント

  1. メールアカウント
  2. Google、Apple、Microsoftなどの基幹アカウント
  3. 証券会社、FX会社、暗号資産取引所
  4. クレジットカードや決済サービス
  5. サーバー、ドメイン、WordPressの管理画面
  6. SNSやメッセージアプリ

メールアカウントを最優先にする理由は、多くのサービスでパスワード再設定の受け皿になっているためです。

メールを乗っ取られると、そこからFX口座、クラウドサービス、SNSなどのパスワードを順番に変更される可能性があります。

実際に行う設定の順番

  1. 使い回しているパスワードを変更する
  2. パスワードマネージャーで長いパスワードを作る
  3. 対応しているサービスではパスキーを登録する
  4. パスキー非対応なら認証アプリの2FAを設定する
  5. 復旧コードを端末とは別の場所へ保存する
  6. 不要なログイン端末や古いセッションを削除する
  7. ログイン通知を有効にする

古い端末がアカウントへ残っていると、現在使っていない端末からログインできる状態が続きます。

認証方法を変更したあとは、ログイン履歴と登録端末も確認してください。

2FAとパスキーのよくある質問

パスキーを設定すれば2FAは不要ですか?

サービスの仕様によります。パスキーだけでログインできるサービスもあれば、重要な操作で別の本人確認を求めるサービスもあります。パスキーを登録したあとも、復旧方法と予備の認証手段を確認してください。

Google Authenticatorならフィッシングを防げますか?

認証アプリはSMSより安全性を高めやすい方法ですが、表示されたコードを偽サイトへ入力すると盗まれる可能性があります。フィッシング耐性を重視する場合は、パスキーやFIDO対応のセキュリティキーが候補になります。

スマートフォンを紛失するとパスキーは使えなくなりますか?

同期型パスキーで別の端末へ同期されていれば、ほかの登録端末から利用できる場合があります。端末固定型の場合は、予備の端末、セキュリティキー、復旧コードなど別の手段が必要です。

同じパスワードに2FAを付ければ使い回してもよいですか?

おすすめできません。2FAを設定していても、パスワードの使い回しは避けてください。サービスごとに異なるパスワードを作り、パスワードマネージャーで管理する方が安全です。

まとめ|パスキーを優先し、使えない場合は2FAを設定する

パスワードだけの認証は、漏えいやフィッシングに弱く、重要なアカウントを守るには不十分です。

  • パスキーに対応している場合は優先して登録する
  • 非対応なら認証アプリを使った2FAを設定する
  • SMSやメール認証しかない場合でも、未設定よりは有効
  • 復旧コードと予備の認証方法を用意する
  • パスワードはサービスごとに変える
  • メールとパスワード管理アカウントを最優先で守る
カオチャイ
カオチャイ
認証方法を強くするだけでなく、端末を失ったときに自分がログインできるよう、復旧手段まで準備しておく必要があるのですね。
yuki
yuki
最初にメールアカウントを守り、次にFX口座や決済サービスを見直すと進めやすいです。パスキーが使えるサービスから順番に切り替えていきましょう。
ABOUT ME
YUKI
執筆・検証担当:YUKI FX自動売買(EA)・バイナリーオプション自動売買ツールの 開発および検証を担当。 MQL(MT4 / MT5)やC#によるプログラミングを専門とし、 ロジック設計から実装・検証まで一貫して行っています。 ▶ 執筆者・検証方針はこちら