二段階認証(2FA)の設定方法 — 完全ガイド
Google Authenticator、Authy、YubiKeyなど、主要な二段階認証の設定手順をステップバイステップで解説。アカウントを不正アクセスから守りましょう。
二段階認証(2FA)の設定方法 — 完全ガイド
どんなに複雑なパスワードでも、流出すればそれまでです。毎年のように大規模な情報漏洩事件が報道され、一度流出したパスワードはダークウェブで売買されています。
二段階認証(2FA)を設定すれば、パスワードが漏れても第二の認証要素がなければログインできません。この記事では、認証アプリ、SMS、ハードウェアキーなど、主要な2FA方式の設定手順を詳しく解説します。
二段階認証とは
二段階認証は、ログイン時に2つの異なる証拠を要求するセキュリティ方式です。
- 知っているもの — パスワード
- 持っているもの — 認証アプリのコード、ハードウェアキー、生体認証
パスワードを知っていても、二つ目の要素がなければアクセスできません。
2FA方式の比較
| 方式 | セキュリティ | 利便性 | コスト |
|---|---|---|---|
| SMS認証 | 低い | 高い | 無料 |
| 認証アプリ | 高い | 高い | 無料 |
| ハードウェアキー(YubiKey) | 非常に高い | 普通 | $25〜$70 |
| メール認証 | 低い | 普通 | 無料 |
SMS認証のリスク
SMSによる二段階認証は、設定しないよりはましですが、既知の脆弱性があります。
- SIMスワップ詐欺: 攻撃者が携帯キャリアを騙して電話番号を別のSIMに移行。以降、すべてのSMS認証コードが攻撃者に届きます。
- SS7プロトコルの脆弱性: SMSの転送に使われる通信プロトコル自体に、傍受を可能にする欠陥があります。
- ソーシャルエンジニアリング: キャリアのカスタマーサポートを騙してアカウント情報を変更する手口も報告されています。
SMSしか選択肢がない場合はまず有効にし、できるだけ早く認証アプリに切り替えてください。
認証アプリの設定手順
認証アプリは30秒ごとに新しいワンタイムパスワード(TOTP)を生成します。コードは端末上でローカルに生成されるため、通信途中で傍受されることがありません。
主要な認証アプリ
| アプリ | 対応OS | クラウドバックアップ | 特徴 |
|---|---|---|---|
| Google Authenticator | iOS, Android | Googleアカウント同期 | シンプルで対応サービスが多い |
| Authy | iOS, Android, PC | 暗号化クラウドバックアップ | マルチデバイス対応 |
| Microsoft Authenticator | iOS, Android | iCloud/Googleバックアップ | Microsoft系の通知対応 |
| 1Password / Bitwarden | 全プラットフォーム | パスワードマネージャー内蔵 | パスワードとコードを一元管理 |
認証アプリで2FAを有効にする手順
サービスによってメニューの場所は異なりますが、基本的な流れは同じです。
-
アカウントのセキュリティ設定を開く
- 「二段階認証」「2ステップ認証」「ログインセキュリティ」などを探します
-
認証アプリを選択
- SMSオプションがあっても認証アプリを優先してください
-
QRコードをスキャン
- 認証アプリを開き、「+」または「アカウント追加」をタップ
- 画面に表示されたQRコードをカメラで読み取る
- アプリが自動的にアカウントを登録
-
認証コードを入力
- 認証アプリに表示された6桁のコードを入力して設定完了
-
バックアップコードを保存
- ほとんどのサービスがワンタイムのバックアップコードを提供します。同じスマホのメモアプリではなく、安全な場所に保管してください
- LOCK.PUBでパスワード付きメモを作成すれば、バックアップコードを安全に保管できます。有効期限も設定可能です
2FAを優先すべきアカウント
- メール(Gmail、Outlook)— 他のすべてのアカウントの復旧手段
- 金融サービス — 銀行、証券、決済サービス
- SNS — Instagram、Facebook、X/Twitter
- クラウドストレージ — Google Drive、iCloud、Dropbox
- メッセージアプリ — LINE、Telegram
ハードウェアセキュリティキーの設定
YubiKeyのようなハードウェアキーは最も強力な2FA方式です。物理的にキーを持っていなければログインできないため、フィッシングに対して無敵です。
ハードウェアキーの仕組み
- USBポートに挿すか、NFC対応の場合はスマホにタッチ
- 暗号化されたレスポンスを生成し、物理的な所有を証明
- 入力するコードも、傍受されるコードも存在しない
セットアップ手順
- 対応キーを購入 — YubiKey 5シリーズがほとんどのサービスに対応
- アカウントのセキュリティ設定で「セキュリティキー」を選択
- キーを挿入し、プロンプトが表示されたらボタンをタッチ
- バックアップキーを登録 — 紛失に備えて2本購入し、両方登録
ハードウェアキー対応サービス
- Google、Microsoft、Apple
- GitHub、GitLab
- Facebook、X/Twitter
- Coinbase、Binance
- Dropbox、1Password
複数アカウントの2FA管理
2FAを有効にするアカウントが増えると、管理が重要になります。
- 1つの認証アプリにすべてのアカウントを登録してコードを一元管理
- クラウドバックアップを有効化(AuthyもGoogle Authenticatorも対応)
- バックアップコードは安全に保管 — パスワードマネージャーやLOCK.PUBのメモリンクを活用
- 2FA有効化済みアカウントのリストを別途記録
スマホを紛失したら?
認証アプリが入った端末を失くす事態に事前に備えましょう。
- バックアップコードを保存 — 2FA設定時に必ず
- クラウド同期を有効化 — 認証アプリの設定で
- 予備の端末やハードウェアキーをバックアップとして登録
- バックアップコードを印刷 — 物理的に安全な場所に保管
すでにアクセスを失った場合は、本人確認書類を用意してサービスのサポートに復旧を依頼してください。
よくある2FAの失敗
- SMSだけに頼る — 認証アプリに切り替えましょう
- バックアップコードを同じ端末に保存 — 端末を失うとすべて失います
- メールの2FAを後回しにする — メールはほぼすべてのアカウントの復旧経路です
- すべてのアカウントに同じ電話番号 — SIMスワップ一回で全滅
- 復旧テストをしない — 緊急時の前に復旧できるか確認しておきましょう
今すぐアカウントを守りましょう
2FAの設定は1アカウントあたり5分で終わります。まずメールから始めて、重要なアカウント順に有効化してください。
バックアップコードの安全な保管場所が必要なら、LOCK.PUBでパスワード付きメモを作成してみてください。解除パスワードはLINEではなく別の手段で共有すると、さらに安全です。
キーワード
こちらもおすすめ
リンクロックだけじゃない!LOCK.PUBの7つの秘密コンテンツ完全ガイド
LOCK.PUBは単なるリンクロックツールではありません。URLロック、秘密メモ、暗号化チャット、秘密投票、秘密画像、秘密ボード、秘密オーディオの7つのコンテンツタイプをご紹介します。
スマホで写真を隠す方法 — iPhone & Android 完全ガイド
iPhoneの非表示アルバム、Androidのセキュアフォルダ、サードパーティアプリまで。スマホで写真を安全に隠す方法を解説します。
子供のオンラインアカウントとパスワードを安全に管理する方法
ゲーム、学習、SNSなど子供のアカウントパスワードを安全に管理する保護者ガイド。年齢別の管理法と緊急時の対処法まで。