2 要素 — SMS コードが脆弱な理由
2026 年 6 月 25 日 · 3 分で読みました · コメント
この記事にはアフィリエイトリンクが含まれています。それらを通じて購入すると、追加費用なしで手数料が発生する場合があります。
2 要素認証は、最も効果的なセキュリティ アップグレードの 1 つです。しかし、すべての 2 要素が同じというわけではありません。最も一般的なバージョン、つまりほとんどのサービスがデフォルトで使用するバージョンには、ほとんどの人が知らない、明確に文書化された特定の脆弱性があります。
2 要素認証は、知っているもの (パスワード) と持っているもの (通常はコード) を要求することで機能します。たとえ誰かがパスワードを盗んだとしても、2 番目の要素がなければログインできません。本当に良いですよ。問題は、「あなたが持っているもの」が何を意味するかです。
SMSコードの問題
SMS コードがあなたの電話番号に送信されます。あなたの電話番号は通信事業者によって管理されています。そして通信事業者は、時にはソーシャル エンジニアリングを通じて、時には従業員へのあからさまな贈収賄を通じて、ユーザーの番号を攻撃者が管理する SIM カードに転送するように操作される可能性があります。これをSIMスワップといいます。
あなたの番号が転送されると、「あなたの」電話に送信されたすべての SMS コードが攻撃者のデバイスに送信されます。あなたのパスワードと SMS ベースの 2 要素が彼らのものになります。重要な暗号通貨を所有する人々、経営者、ジャーナリストなど、価値の高いターゲットは、この方法で定期的に侵害されます。
代わりに何を使用するか
認証アプリはデバイス上で時間ベースのコードを生成します。これらは電話ネットワークを介して送信されません。SIM スワップがそれらを傍受することはできません。 Google Authenticator や Authy などのアプリはこのように動作します。 NordPass には認証システムも組み込まれているため、2FA コードとパスワードは同じ安全な保管庫に保存されます。
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
2 要素は最も弱い形式であっても持つ価値があります。 SMS 2FA は、2FA を使用しないよりもはるかに優れています。 But if you're going to use it, it takes about two minutes per account to upgrade from SMS to an authenticator app — and the gap in protection is significant.
よくある質問
What is credential stuffing?+
クレデンシャル スタッフィングとは、攻撃者が 1 回の侵害で公開された電子メールとパスワードの組み合わせを取得し、自動的に他のサービスに対して試行することです。パスワードを再利用すると、1 つのサイトが侵害されると、攻撃者は同じ資格情報を持つすべてのアカウントにアクセスできるようになります。
Is it safe to store all your passwords in one place?+
はい、信頼できるパスワード マネージャーを使用している場合は可能です。暗号化されたボールトは、再利用されたパスワードや弱いパスワードよりもはるかに安全です。 NordPass のようなパスワード マネージャーはゼロ知識アーキテクチャを使用しています。つまり、企業ですら保存されたパスワードを確認することはできません。
What is two-factor authentication and should I use it?+
2 要素認証 (2FA) では、パスワードに加えて 2 番目の検証手順 (通常はアプリからのコード) が必要です。 SIM スワップ攻撃に対して脆弱な SMS コードではなく、認証アプリ (Google Authenticator、Authy) を使用します。
