概要
2要素認証(2FA / Two-Factor Authentication)は、パスワードに加えて別の認証要素(SMS コード・認証アプリの一時コード・物理セキュリティキー等)を組み合わせて本人確認を行う仕組みです。「知識」(パスワード)+「所持」(端末)+「身体」(生体)のうち2つ以上を要求する設計です。
パスワード単独の認証はリスト型攻撃やフィッシング詐欺で突破される事例が増加しているため、2FA の導入は現代のオンラインサービス利用の事実上の必須要件になっています。
仕組み・成り立ち
2010年代に Google・Microsoft・Apple・主要金融機関が順次2FA を導入し、現在ではほぼすべての主要サービスで設定可能です。最も一般的な実装は「パスワード + SMS コード」ですが、SMS は SIM スワップ攻撃のリスクがあるため、認証アプリ(Google Authenticator・Authy 等)やパスキー(後述)への移行が推奨されています。
金融庁・総務省も金融機関・通信事業者に対し2FA の義務化を進めており、2026年5月時点でほぼすべての主要金融サービスで標準実装されています。
知っておくべきポイント
- SMS 認証は SIM スワップ攻撃で突破されるリスクあり、認証アプリ・パスキー推奨
- 認証アプリの再インストール時のバックアップコード保管が重要
- 物理セキュリティキー(YubiKey 等)が最も強固、一部金融機関で対応
- 「2要素認証」と「2段階認証」は厳密には別概念だが、日本では同義で使われることが多い
MobilyWise の関連記事
まとめ
2要素認証は「アカウント乗っ取り対策の基本」で、現代のオンラインサービス利用では必須の防御層です。SMS 認証から認証アプリ・パスキーへの段階的移行が推奨されます。