.png)
MFAは99.2%防ぐ!でも認証コードを入力させる詐欺に注意が必要な理由
- 28 分前
- 読了時間: 8分
「二段階認証を入れているから大丈夫」
「SMSで認証コードが届くから安心」
「パスワードだけより安全なはず」
この考え方は、基本的には正しいです。
実際、Microsoftは、多要素認証、いわゆるMFAがアカウント侵害攻撃の99.2%以上を防げると説明しています。
IDとパスワードだけでログインできる状態と比べれば、MFAは非常に有効な対策です。
ただし、ここで注意したいことがあります。
MFAを入れていれば、どんなフィッシングにも絶対に安全、というわけではありません。
最近のフィッシングでは、ID・パスワードだけでなく、SMSや認証アプリに表示される認証コードそのものを入力させようとする手口があります。
つまり、これから大切なのは、「MFAを入れること」だけでなく、「認証コードをどこに入力しているのか」を確認することです。
MFAは、今でも非常に有効な対策
まず、誤解してはいけないのは、MFAそのものは非常に重要だということです。
MFAとは、ログイン時に複数の要素で本人確認を行う仕組みです。
たとえば、
パスワード
SMSで届く認証コード
認証アプリのコード
スマートフォンへの承認通知
指紋認証や顔認証
パスキー
などを組み合わせて、本人確認を強化します。
パスワードだけの場合、どこかで漏えいしたり、使い回しをしていたりすると、それだけでログインされる可能性があります。
しかし、MFAが有効になっていれば、攻撃者がパスワードを知っていても、追加の確認を突破できなければログインできません。
中小企業でも、まず優先して設定したい対策です。
メール
クラウドストレージ
会計サービス
ネットバンキング
SNS
サーバー管理画面
Google Workspace
Microsoft 365
こうした重要アカウントには、MFAを設定しておくべきです。
それでも“認証コード入力型”には注意が必要
問題は、攻撃者もMFAの存在を前提にしていることです。
フィッシング対策協議会は、フィッシングサイトに入力された情報を、犯罪者が裏で本物のサイトへ入力し、SMS認証コードなども詐取して二要素認証を突破するケースが確認されていると注意喚起しています。
流れとしては、次のようなイメージです。
利用者が偽メールのリンクを開く
本物そっくりのログイン画面が表示される
IDとパスワードを入力する
攻撃者が裏側で本物のサイトに入力する
本物のサービスから認証コードが届く
利用者が偽サイトに認証コードを入力する
攻撃者がそのコードを使ってログインする
この場合、利用者は「いつものログイン操作」をしているつもりです。
しかし実際には、偽サイトを経由して、攻撃者に認証情報と認証コードを渡してしまっている状態です。
ここが、最近のフィッシングの怖いところです。
「認証コードが届いた」だけで安心しない
SMSやメールで認証コードが届くと、多くの人はこう考えます。
「本人確認が出たから、ちゃんとしたサービスだろう」
しかし、これは危険です。
認証コードが届いたということは、本物のサービス側でログイン処理が進んでいる可能性があります。
問題は、そのログインを操作しているのが自分なのか、攻撃者なのかです。
特に、次のような場面では注意が必要です。
メール内リンクからログインした
いつもと違う画面で認証コードを求められた
急に「本人確認が必要」と表示された
パスワード入力後、すぐにSMSコードを求められた
ログイン後に支払い情報や登録情報の変更を促された
認証コードは、パスワードと同じくらい重要な情報です。
誰かに教えてはいけないものであり、偽サイトに入力してはいけないものです。
SMS認証より、認証アプリやパスキーの方が安全性は高い
SMS認証は、何も設定していない状態よりは明らかに安全です。
ただし、SMSは携帯電話番号に依存するため、端末の紛失、SIM関連の不正、メッセージの盗み見などのリスクもあります。
警察庁も、IDやパスワードが盗まれた場合に備えてワンタイムパスワードを活用することに加え、指紋や顔認証などの認証方法を活用するとより安全だと案内しています。
さらに一歩進めるなら、認証アプリやパスキーの利用を検討したいところです。
パスキーは、ログイン先の正当性と連動するため、偽サイトに認証情報を入力させるタイプのフィッシングに強いとされています。
もちろん、すべてのサービスがパスキーに対応しているわけではありません。
中小企業では、まず現実的に、
重要アカウントにはMFAを必ず設定する
可能ならSMSより認証アプリを使う
対応しているサービスではパスキーを検討する
という順番で進めるのがよいです。
中小企業で特に注意したいアカウント
MFAは、すべてのアカウントに設定できれば理想です。
ただ、最初から全社一斉に完璧を目指すと、現場が混乱することもあります。
まず優先したいのは、被害が大きくなりやすいアカウントです。
① メールアカウント
メールが乗っ取られると、取引先になりすましたメール、請求書の差し替え、パスワード再設定メールの受信など、被害が広がりやすくなります。
Google WorkspaceやMicrosoft 365を使っている場合は、管理者アカウントも含めてMFAを確認したいところです。
② ネットバンキング・会計サービス
会社のお金に直結します。
ID・パスワードだけでなく、認証コード、承認操作、振込先変更の確認ルールまで含めて見直す必要があります。
③ クラウドストレージ
契約書、見積書、請求書、顧客情報などが保存されている場合、漏えい時の影響が大きくなります。
共有リンクの設定や、退職者アカウントの削除もあわせて確認が必要です。
④ SNS・ホームページ管理アカウント
SNSやWebサイトが乗っ取られると、会社の信用に直結します。
偽情報の投稿、詐欺サイトへの誘導、ブランド毀損につながる可能性があります。
社内で決めたい「3つのMFAルール」
中小企業では、まず次の3つを決めるだけでも効果があります。
① 重要アカウントはMFA必須にする
メール、クラウド、会計、ネットバンキング、SNS、管理画面。
このあたりは、「できれば設定」ではなく、基本的に必須にした方がよいです。
特に、管理者アカウントは優先度が高いです。
② 認証コードはメール内リンクから開いた画面に入力しない
これが非常に重要です。
メール内リンクから開いた画面で認証コードを求められた場合は、一度止まる。
そして、ブックマークや公式アプリから開き直して確認する。
このルールだけでも、フィッシングの被害を減らします。
③ 認証通知が来たら、心当たりがあるか確認する
スマートフォンにログイン承認通知が来たとき、反射的に「承認」しないことです。
自分が今ログイン操作をしていないのに通知が来た場合は、誰かがログインを試みている可能性があります。
その場合は、承認せず、パスワード変更や管理者への連絡を行うべきです。
MFAを導入して終わりにしない
MFAは強力な対策ですが、導入して終わりではありません。
運用面で確認したいことがあります。
退職者アカウントが残っていないか
管理者アカウントにMFAが設定されているか
共有アカウントを使っていないか
緊急時の復旧方法を決めているか
認証アプリを入れたスマホを紛失した場合の手順があるか
特に、管理者アカウントのMFA設定と、退職者アカウントの削除は重要です。
せっかくMFAを入れていても、古いアカウントが残っていたり、管理者だけ未設定だったりすると、そこが入口になります。
フィッシング対策は「ログインの入り口」を変えること
フィッシング対策というと、怪しいメールを見分ける話になりがちです。
もちろん、それも大切です。
しかし今後は、ログインの考え方そのものを変える必要があります。
メール内リンクからログインしない
公式アプリやブックマークから開く
認証コードを入力する前に画面を確認する
重要アカウントにはMFAを設定する
可能なら認証アプリやパスキーを使う
心当たりのない承認通知は拒否する
こうした習慣が、会社のアカウントを守ります。
MFAは、確かに強い対策です。
ただし、フィッシングサイトに認証コードを入力してしまえば、その強さをすり抜けられることがあります。
だからこそ、これからの合言葉は、「MFAを入れる」だけでなく、「認証コードをどこに入力するか」まで確認するです。
「うちのMFA設定、大丈夫かな?」と思ったら
「重要アカウントにMFAが設定されているか分からない」
「SMS認証のままでよいのか不安」
「社員にどう説明すればよいか分からない」
「Google WorkspaceやMicrosoft 365の設定を確認したい」
そんな場合は、ぜひ一度ご相談ください。
ITワークラボでは、中小企業の外部IT担当者として、メール・クラウド・会計サービス・SNSなどの重要アカウントのMFA設定確認から、社員向けの運用ルールづくりまでサポートしています。
難しい仕組みを一気に入れるのではなく、まずは“守るべきアカウント”と“認証コードを入力してよい場面”を整理するところから始めましょう。
📖 あわせて読みたい
関連ページ
IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。
実際のご相談事例は、「導入事例」でもご紹介しています。
ITワークラボの考え方は、「ITワークラボについて」をご覧ください。