「パスワードはちゃんと設定してるから大丈夫」と思っていませんか?

実は、パスワードだけでアカウントを守るのは、今の時代では心もとないのです。毎年、数億件規模のパスワード情報がどこかのサービスから流出しているというデータがあります。あなたが10年前に使ったサービスのパスワードが、今も流通しているかもしれません。

そんな状況で頼りになるのが「二段階認証」です。聞いたことはあるけど設定したことがない、という方もいるでしょう。この記事を読み終えたあとには、「思ったより簡単だった」と感じていただけるはずです。

目次 [ close ]
  1. 二段階認証って何?まず仕組みを理解しよう
  2. なぜパスワードだけでは危ないのか
    1. パスワードが漏れる主な原因
  3. 二段階認証を設定するだけで、どれくらい安全になる?
  4. 実際の設定方法を一緒にやってみよう
    1. Googleアカウントの場合
    2. Apple ID(iPhone・Macユーザー)の場合
    3. Instagramの場合
  5. 認証アプリって何?どれを使えばいいの?
  6. 「スマホを失くしたらどうするの?」よくある不安に答えます
    1. バックアップコードを保存しておく
    2. 複数の認証方法を登録しておく
    3. 機種変更するときは事前に引き継ぎを
  7. 「面倒くさそう」と思っているあなたへ
  8. 設定する優先順位はここから始めよう
  9. まとめると、二段階認証は「デジタルの防犯対策」です

二段階認証って何?まず仕組みを理解しよう

二段階認証(にだんかいにんしょう)とは、ログインするときに「パスワード」に加えて、もう一つ別の確認を行う仕組みのことです。英語では「Two-Factor Authentication」、略して「2FA」とも呼ばれます。

わかりやすく言うと、家の鍵が二重になっているようなイメージです。玄関の鍵(パスワード)を開けても、もう一つ内側の鍵(二段階目の確認)がないと中に入れない。つまり、万が一パスワードが誰かに知られてしまっても、二段階目の壁があることで不正ログインを防げるのです。

二段階目の確認方法にはいくつか種類があります。

  • SMSで届く数字コード:スマホにショートメッセージで6桁の数字が届き、それを入力する方法
  • 認証アプリのコード:「Google Authenticator」や「Authy」といったアプリが30秒ごとに自動生成するコードを入力する方法
  • メールで届くコード:登録したメールアドレスにコードが届く方法
  • 物理的なセキュリティキー:USBメモリのような専用の鍵デバイスを使う方法(企業向けに多い)

日常的によく使われるのは上の三つです。中でも「認証アプリを使う方法」は、SMSが届かない海外にいるときでも使えますし、セキュリティ強度も高いため、できればこちらを選ぶのがおすすめです。

なぜパスワードだけでは危ないのか

「複雑なパスワードにしているから平気」と思う方もいるかもしれません。しかし、パスワードが漏れるのは、あなたの管理が甘いからではないことがほとんどです。

パスワードが漏れる主な原因

サービス側のデータ流出が最も多い原因です。過去には大手ECサイト、SNS、ゲームサービスなど、有名なサービスでも数百万件単位でパスワード情報が盗まれる事件が起きています。あなたがどれだけ慎重に管理していても、サービス側が攻撃を受ければ情報は流出します。

フィッシング詐欺も見逃せません。本物そっくりの偽サイトに誘導され、パスワードを入力させる手口です。メールやSMSで「アカウントに異常があります」などと連絡が来て、リンクをクリックすると偽のログイン画面が表示される——これがフィッシング詐欺の典型的な流れです。

パスワードの使い回しも危険です。同じパスワードを複数のサービスで使っていると、一つが漏れただけで他のサービスにも不正ログインされてしまいます。これを「パスワードリスト攻撃」と言います。

つまり、どれだけ頑張っても「パスワードだけ」では完璧に守ることができない時代になっています。だからこそ、二段階認証という「もう一枚の盾」が必要なのです。

二段階認証を設定するだけで、どれくらい安全になる?

Googleの調査によれば、SMSによる二段階認証を設定するだけで、自動化された攻撃(ボットによるパスワード総当たり攻撃)の約100%を防げるというデータがあります。フィッシング攻撃に対しても、大幅にリスクを減らせることが示されています。

完璧ではありませんが、設定しているだけで「狙われにくくなる」という効果は非常に大きいです。犯罪者は手間のかかるターゲットより、簡単に突破できるアカウントを狙います。二段階認証はそれだけで「狙う価値のないアカウント」にしてくれるのです。

実際の設定方法を一緒にやってみよう

ここからは、具体的な設定手順を見ていきます。代表的なサービスとして「Googleアカウント」と「Apple ID」の設定方法を紹介します。どちらもスマホから5〜10分あれば設定できます。

Googleアカウントの場合

GmailやYouTube、Googleドライブなど、Googleのサービスを使っている方は必ず設定しておきたいです。

  1. スマホまたはPCのブラウザで「myaccount.google.com」を開く
  2. 左側(またはメニュー)から「セキュリティ」を選ぶ
  3. 「Googleへのログイン方法」の中に「2段階認証プロセス」があるのでタップ
  4. 「使ってみる」ボタンを押して、画面の指示に従って進む
  5. 電話番号を入力し、SMSか音声通話でコードを受け取る(初回確認のため)
  6. 届いたコードを入力して確認すれば完了

設定後は、認証アプリ(Google AuthenticatorやAuthyなど)を追加の方法として登録しておくと、さらに安心です。「2段階認証プロセス」の設定画面の中に「認証システムアプリ」という項目があり、そこからアプリを追加できます。

Apple ID(iPhone・Macユーザー)の場合

iPhoneを使っているなら、Apple IDのセキュリティも欠かせません。Apple IDには写真、連絡先、メモ、決済情報などが紐づいているため、特に重要です。

  1. iPhoneの「設定」アプリを開く
  2. 一番上に表示されている自分の名前(Apple IDの名前)をタップ
  3. 「サインインとセキュリティ」を選ぶ
  4. 「2ファクタ認証」をタップして「続ける」を選ぶ
  5. 信頼できる電話番号を入力し、確認コードを受け取って入力する
  6. 設定完了

Appleの二段階認証は、同じApple IDでログインしている別のデバイス(iPadやMacなど)にもコードが届く仕組みになっています。複数デバイスを持っている方は特に使いやすいと感じるはずです。

Instagramの場合

SNSのアカウントも乗っ取りの標的になりやすいので、設定しておきましょう。

  1. Instagramアプリを開き、右下のプロフィールアイコンをタップ
  2. 右上の三本線メニュー(ハンバーガーメニュー)→「設定とプライバシー」を開く
  3. 「アカウントセンター」→「パスワードとセキュリティ」を選ぶ
  4. 「2要素認証」をタップし、設定したいアカウントを選ぶ
  5. 「認証アプリ」か「SMS」のどちらかを選んで設定する

Instagramは乗っ取り被害が非常に多いSNSです。フォロワーへの詐欺メッセージ送信や、アカウントの売買などに悪用されるケースが報告されています。設定は必須と思ってください。

認証アプリって何?どれを使えばいいの?

二段階認証の中でも「認証アプリ」を使う方法が最もおすすめと書きましたが、聞き慣れないと思うので補足します。

認証アプリとは、スマホにインストールして使うアプリで、30秒ごとに自動で変わる6桁のコードを生成してくれるものです。インターネットに繋がっていなくてもコードが表示されるので、海外でSIMが使えない状況でも問題ありません。

代表的なものをいくつか紹介します。

  • Google Authenticator:Googleが提供する認証アプリ。シンプルで使いやすく、初めての方に向いています。iOS・Android両方で無料で使えます。
  • Authy:複数デバイスでの同期ができ、スマホを変えたときの移行がしやすいのが特徴です。バックアップ機能もあるため、機種変更が不安な方にはこちらがおすすめです。
  • Microsoft Authenticator:Microsoftアカウント(OutlookやTeamsなど)との連携がスムーズです。仕事でMicrosoft製品をよく使う方に向いています。

どれを使うか迷ったら、まずは「Google Authenticator」を試してみてください。対応しているサービスが多く、初心者にもわかりやすい設計になっています。

「スマホを失くしたらどうするの?」よくある不安に答えます

二段階認証を設定しようとすると、多くの方が「スマホを落としたり、壊れたりしたらログインできなくなるんじゃないか」と心配します。これは正当な不安です。ちゃんと対策があるので安心してください。

バックアップコードを保存しておく

多くのサービスでは、二段階認証を設定すると「バックアップコード」が発行されます。これはスマホが使えなくなったときのための緊急用コードで、一度だけ使えるものが8〜10個ほど用意されます。

このコードは紙に印刷して自宅の安全な場所に保管するか、パスワードマネージャー(パスワードを安全に管理するアプリ)に保存しておきましょう。スマホのメモに保存するだけでは、スマホが使えなくなったときに意味がないので注意してください。

複数の認証方法を登録しておく

たとえば、SMSと認証アプリの両方を登録しておけば、どちらかが使えなくなっても対応できます。Googleの場合、電話番号のほかにも「バックアップ電話番号」を追加登録できます。設定のときに少し手間をかけて、複数の方法を登録しておくのが賢いやり方です。

機種変更するときは事前に引き継ぎを

スマホを新しくするときは、古いスマホから新しいスマホへ認証アプリを移行する必要があります。Google AuthenticatorはQRコードを使ったエクスポート機能があり、Authyはクラウドで同期されるので移行が楽です。機種変更する前に、認証アプリの移行方法を確認しておくことをおすすめします。

「面倒くさそう」と思っているあなたへ

正直に言います。二段階認証を設定すると、ログインするときに一手間増えます。毎回コードを入力する必要があるので、慣れるまでは「ちょっと面倒だな」と感じるかもしれません。

でも、多くのサービスでは「このデバイスは信頼する」という設定ができます。自分のスマホやPCで一度認証しておけば、次回からはコードの入力を省略できるようになります。見知らぬデバイスからログインしようとしたときだけコードが求められるので、日常的な使い勝手はほとんど変わりません。

乗っ取り被害に遭ってから「設定しておけばよかった」と後悔するのと、少しの手間で事前に防ぐのと、どちらがいいでしょうか。SNSアカウントが乗っ取られてフォロワーに迷惑をかけたり、銀行口座と連携したサービスが不正利用されたりする被害は、現実に起きています。

今日、一つだけでいいです。よく使うサービス——GmailかInstagramかLINEか——どれか一つに二段階認証を設定してみてください。やってみれば「これだけか」と拍子抜けするほど簡単なはずです。

設定する優先順位はここから始めよう

「全部設定するのは大変そう」という方のために、優先度の高いサービスを順番に示します。

  1. メールアカウント(GmailやYahooメールなど):最優先です。メールアカウントは他のサービスのパスワードリセットにも使われるため、ここが突破されると他のサービスも連鎖的に乗っ取られるリスクがあります。
  2. Apple IDまたはGoogleアカウント:スマホのOSに直結しており、連絡先・写真・決済情報が紐づいています。
  3. ネットバンキング・証券口座:金銭に直結するため、設定されていない場合は必ず設定してください。多くの金融機関では既に義務化されていますが、任意になっているところは今すぐ設定を。
  4. SNSアカウント(Instagram・X・Facebookなど):乗っ取り被害が多発しています。フォロワーがいる方は特に早めに対処してください。
  5. ショッピングサイト(Amazon・楽天など):クレジットカード情報が登録されている場合は必須です。

一度に全部やろうとしなくていいです。今日はメール、明日はスマホのアカウント、というように少しずつ進めていけば、気づいたときには主要なサービスがすべて守られています。

まとめると、二段階認証は「デジタルの防犯対策」です

家に鍵をかけるのは当たり前のことですよね。それと同じで、オンラインのアカウントに二段階認証を設定するのは、これからの時代の「当たり前の防犯対策」です。

技術的に難しいことは何もありません。スマホで数回タップすれば、ほとんどのサービスで設定できます。設定にかかる時間は10分もあれば十分です。

パスワードだけで守れる時代は、もう終わっています。でも、二段階認証という仕組みを使えば、今日から格段に安全なデジタル生活を送ることができます。難しく考えず、まず一つ、試してみてください。

Photo by Atlantic Money on Unsplash