「二段階認証を入れているから大丈夫」 「SMSで認証コードが届くから安心」 「パスワードだけより安全なはず」 この考え方は、基本的には正しいです。 実際、Microsoftは、多要素認証、いわゆるMFAがアカウント侵害攻撃の99.2%以上を防げると説明しています。 IDとパスワードだけでログインできる状態と比べれば、MFAは非常に有効な対策です。 ただし、ここで注意したいことがあります。 MFAを入れていれば、どんなフィッシングにも絶対に安全、というわけではありません。 最近のフィッシングでは、ID・パスワードだけでなく、SMSや認証アプリに表示される認証コードそのものを入力させようとする手口があります。 つまり、これから大切なのは、「MFAを入れること」だけでなく、「認証コードをどこに入力しているのか」を確認することです。 MFAは、今でも非常に有効な対策 まず、誤解してはいけないのは、MFAそのものは非常に重要だということです。 MFAとは、ログイン時に複数の要素で本人確認を行う仕組みです。 たとえば、 パスワード SMSで届く認証コード 認

攻撃者が狙う意外な入口 「サイバー攻撃」と聞くと、何か特別な技術でシステムをこじ開けられるような場面を想像するかもしれません。 ですが、実際にはもっと地味で、もっと身近な入口が使われています。 それが、 正規のIDとパスワードで“普通にログインされる”攻撃 です。 CrowdStrikeは、日本で2022年に観測した侵入のうち 60%が有効なアカウントの悪用を含んでいた と報告しています。 つまり、攻撃者は必ずしも「壁を壊して入る」とは限りません。 合鍵を手に入れて、正面から入ってくる。 今の攻撃は、そう考えた方が実態に近い場面が増えています。 IPA（独立行政法人 情報処理推進機構）も、流出したID・パスワードや推測されたパスワードが悪用され、不正ログイン被害が増えていると注意喚起しています。 「侵入」ではなく「ログイン」とはどういうことか 昔ながらのサイバー攻撃のイメージは、外からシステムの弱点を突いて無理やり入り込むものです。もちろん今でも、脆弱性を突く攻撃はあります。 ただ最近はそれに加えて、 盗まれたIDとパスワードを使って、本人になり