多要素認証とは何ですか？

パスワードだけでなく、スマホへのコードや生体認証など複数の異なる要素を組み合わせて本人確認を行う認証方式。

多要素認証のポイントは？

知識（パスワード）・所持（スマホ）・生体（指紋）という3種の要素のうち2種以上を組み合わせる。2要素認証（2FA）は多要素認証の代表例で、パスワード＋SMSコードが典型。パスワードが漏えいしても、追加要素がなければ不正ログインを防げる。SMS認証はSIMスワップ攻撃に弱く、認証アプリやハードウェアキーがより安全

【たようそにんしょう】

多要素認証とは？

💡 「知っている」「持っている」「身体的特徴」の組み合わせで守る二重三重の鍵

📌 このページのポイント

知識（パスワード）・所持（スマホ）・生体（指紋）という3種の要素のうち2種以上を組み合わせる
2要素認証（2FA）は多要素認証の代表例で、パスワード＋SMSコードが典型
パスワードが漏えいしても、追加要素がなければ不正ログインを防げる
SMS認証はSIMスワップ攻撃に弱く、認証アプリやハードウェアキーがより安全

多要素認証のイメージ

ひよこ

多要素認証ってどうして必要なの？

ペンギン先生

パスワードだけだと、パスワードが漏れた瞬間に全てのアカウントが危険になるからだよ。「もう一つ別の確認」があると、パスワードを盗まれてもすぐには侵入できないんだ。

ひよこ

3種類の要素って何？

ペンギン先生

「知識（あなたが知っているもの）」「所持（あなたが持っているもの）」「生体（あなた自身の身体的特徴）」の3つだよ。パスワードが知識、スマホが所持、指紋・顔が生体で、それぞれ違う種類から2つ以上を使うのが多要素認証だんだ。

ひよこ

2段階認証と2要素認証って同じなの？

ペンギン先生

似てるけど微妙に違う。「2段階認証」はログインを2段階で行うこと全般で、例えばパスワードを2回入力する場合も含む。「2要素認証」は異なる種類の要素を組み合わせること。2つのパスワードは2要素認証じゃなくて2段階認証だね。

ひよこ

SMSでコードを受け取る方法は危ないの？

ペンギン先生

他の手段と比べると弱い側面があるよ。「SIMスワップ攻撃」といって電話番号を攻撃者のSIMに移されてしまうと、SMSが傍受されてしまう。認証アプリ（Google AuthenticatorやAuthy）はオフラインで生成するからSIMスワップに強いし、FIDO2対応のハードウェアキーはさらに強力だよ。

ひよこ

多要素認証でも突破される場合ってあるの？

ペンギン先生

あるんだ。フィッシングの話でも出てきたけど「リアルタイムフィッシング（AiTM攻撃）」では偽サイトが中継役になってOTPを即座に使ってしまう。また「MFA疲労攻撃」という手法で、攻撃者が何十回も認証プッシュ通知を送り続けて、うんざりしたユーザーが誤って承認してしまうケースも報告されているよ。これらへの対策としてFIDO2/パスキーのような「フィッシング耐性のある認証」が注目されているんだ。

まとめ：ざっくりこれだけ覚えればOK！

多要素認証って出てきたら「パスワード以外にもう一つ以上の確認を組み合わせる安全なログイン方法」と思えばだいたいOK！

📖 おまけ：英語の意味

「Multi-Factor Authentication」＝複数要素による認証

💬 MFAと略されることが多い。「Factor（要素・因子）」を「Multi（複数）」組み合わせることで単一の情報流出でも不正アクセスを防ぐ仕組みだよ

← 用語集にもどる

多要素認証 とは？

多要素認証とは？