二要素認証の普及を阻む最大の敵「なんかめんどくさい」をどう打破する？：半径300メートルのIT

Yubicoの年次調査によると、日本の二要素認証導入率は20％と他国と比べて大幅に遅れているそうです。なぜこんなに遅れているのか、筆者はその最大のハードルを「めんどくささ」にあると考えています。ではこれをどう打破すればいいでしょうか。

[宮田健，ITmedia]

　ハードウェア認証キーを提供するYubicoは、年次調査「グローバル認証状況調査 2025」を発表しました。この中ではZ世代が他の年齢層と比較してフィッシングの影響を最も大きく受けていること、フィッシングの試みを正しく見破る能力は世代間で大きな違いがないという視点、そして全てのアプリ／Webで二要素認証（MFA）を使用しているのは回答者の48％であったことに加え、日本に限ると20％と他国に比べても遅れていることが記者発表で触れられました。

　最近国内で頻発しているサイバー攻撃の被害レポートを見ていても、不正アクセスにおいて「業務で使用するID（メールアドレス）／パスワードなどの認証情報が流出」といった文字が目立つとともに、そこに「二要素認証を設定していました（いませんでした）」という記述はほとんどなく、恐らくはほとんどの事例で二要素認証が設定されていなかったと推察します。

　二要素認証の手法は数多くありますが、パスワードが流出した“だけ”では認証を突破できないはずです。その意味では、今回の調査レポートにある数値は信ぴょう性は高いように思えますし、肌感覚としてはもう少し低く出てもおかしくないとは思います（全てのアプリで設定、というのはそれなりにハードルが高いですが）。

　このコラムを読んでいる方にとっては、二要素認証など当たり前、難しいことはない……と感じてもらえていることを信じたいところですが、セキュリティはそういう人たちだけで作れるものではありません。仮想的に「経営層」を想定しながら、なぜ二要素認証が広まらないのかを考えつつ、それを変える方法を考えたいと思います。

二要素認証の普及を阻む最大の敵「なんかめんどくさい」をどう打破するか？

　まず、セキュリティ対策を進める上での敵は、「めんどくさい」と感じるユーザーの心理的な抵抗だと考えています。二要素認証は下記のような種類があり、サービス側がその機能を提供している傾向があります。

• ログインすると電子メールが飛び、電子メールに書かれたワンタイムパスワードを入力させる（知識情報「パスワード」／所持情報「電子メール」）
• ログインするとSMSが飛び、SMSに書かれたワンタイムパスワードを入力させる（知識情報「パスワード」／所持情報「携帯電話」）
• ログインするとプッシュ通知が飛び、プッシュ通知に書かれたワンタイムパスワードを入力させる（知識情報「パスワード」／所持情報「スマートフォン（アプリ）」）
• ログインするとパスキーを求められ、生体認証などスマートフォンで追加認証を実行する（生体情報「指紋」「顔」／所持情報「スマートフォン」）

　実は最新の二要素認証の仕組みは本当によくできていて、特に「パスキー」であれば、ログイン時にID／パスワードの入力もなく、いきなり顔認証や指紋認証だけでログインできます。さらにネットワークの経路に顔情報や指紋情報といった秘密情報が流れず、偽のWebサイトではそもそもこの仕組みが悪用できないため、フィッシング耐性が非常に高いのも特徴です。

,パスキー対応のWebサイトでは、ログインIDを入力しなくともパスキーを選択することで、スマートフォンの中に格納された鍵をベースにログインが可能（出典：任天堂のログイン画面）

　この他、最近のスマートフォンのOSでは、SMSで届くワンタイムパスワードを認識し、入力エリアに自動入力してくれる機能も充実しています。こうした機能によって、正しく設計されたサービスであれば、二要素認証の“めんどくささ”は大きく軽減されてきています。

　つまり経営層やITに詳しくない人に本気で二要素認証を普及させるのであれば、最初はマンツーマンでその作業を教え、意外と簡単だよ、ということを伝える以外ないと思っています。大学や病院などの取材では、地位の高い方に二要素認証を使ってもらえないという声をよく聞きます。例えば部署ごとに「アンバサダー」を作って普及活動に専念してもらうことが、二要素認証普及率を高める鍵になるでしょう。

　結局のところ「慣れ」でしかありません。一度慣れれば、二要素認証など恐るるに足らず、と思いましょう。

一方で最も怖いのも「慣れ」

　ただし二要素認証が攻撃対象になってしまっていることも、合わせて広めていかなければなりません。二要素認証を身に付けるには慣れが大事ですが、その「慣れ」こそが攻撃の起点になっているのも事実です。

　二要素認証への攻撃手法として、最も有名なのは「リアルタイムフィッシング」です。利用者に届くワンタイムパスワードを“偽のWebサイト”に入力させ、攻撃者が裏で経由し、本物のWebサイトに不正に入力する手法です。対策の鍵は「偽のWebサイトには絶対にワンタイムパスワードを入力しないこと」。普段使っているのと同じページに見えるという慣れが敵になります。

　もう一つ、二要素認証の突破を狙う攻撃を紹介しましょう。多要素認証疲労攻撃も私たちの慣れを突いた攻撃手法です。これはプッシュ通知やSMSで飛ぶワンタイムパスワードを悪用し、何度も何度もその通知を送ってくるというものです。

　プッシュ通知による二要素認証は、スマートフォン（のアプリ）に通知を送り、いちいちワンタイムパスワードを入力しなくともログインができる非常に便利な仕組みです。しかし単純に「ログインOK」ボタンを押すだけいいため、攻撃者がパスワードを奪ってしまえば不正なログイン試行をする度に通知が飛んでくることになります。もし慣れてしまっていればノールックでOKを押し、不正ログインが成功してしまうでしょう。

　そのためマンツーマンで教える機会があれば、「二要素認証は強力だが、それでも攻撃は終わらない」ことも併せてお伝えてするといいでしょう。最近でも「ClickFix」など、どうすればこのような発想が生まれるのかと驚く攻撃手法が登場しています。最新情報へのチェックも忘れずに。

二要素認証は大変じゃない！

　個人的には、二要素認証が普及しない理由は「めんどくさい」以上のものはないと思っています。しかしその「めんどくさい」を攻略するのも、非常に難しいと感じています。セキュリティの最も強大な敵なのかもしれません。

　しかし今やそうもいっていられない状況です。どんなに強固な仕組みをコストをかけて整備したとしても、ある一人の従業員が「うるさく言われたけど、めんどくさいから設定しなくてもいいでしょ」と軽く考えていたとしたなら、それらの投資を全て無駄にし、ビジネスが数カ月止まるということも想定しなければなりません。

　従業員が全員二要素認証を設定していたとしたら、侵入は相当大変になるはずです。社用端末として正しい生体認証ができるスマートフォンを配布しているのであれば、二要素認証は大変楽になるはずです。その認識をアップデートさせてしまえば、あなたの組織のセキュリティ対策は大きく変わるはず。2026年の調査レポートでは「日本が頑張った」と言われる未来がくることを信じて……。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。