多要素認証
定義
多要素認証(MFA)とは「2種類以上の異なる認証要素(知識・所持・生体)を組み合わせてアカウントを保護する仕組み」で、パスワード単体の脆弱性を補う現代のセキュリティの基本です。1つ目の要素(パスワード)が漏洩しても2つ目の要素がなければログインできないため、クレデンシャルスタッフィング攻撃や大規模なパスワード漏洩の被害を根本から抑制できます。Microsoftの調査ではMFA導入だけでアカウント乗っ取りの約99.9%を防御できるとされており、特権アカウント・管理コンソール・VPN・メールへの適用が最優先です。ただしMFAの強度には差があります。SMS OTPはSIMスワッピングで傍受でき、TOTPアプリはEvilginxなどのプロキシ型フィッシングでリアルタイム中継されてしまいます。最も強力な手段はFIDO2/パスキーで、登録したドメイン以外では認証が成立しない設計によってフィッシング自体を無効化します。
詳細解説
MFAを導入するだけでアカウント乗っ取りの99.9%を防御できるというMicrosoftの調査があります。ただしSMS OTPはSIMスワッピングやSS7攻撃で傍受されるリスクがあり、TOTPアプリはEvilginxなどのプロキシ型フィッシングでバイパスされる場合があります。FIDO2/パスキーがフィッシング耐性の面で最も強力なMFA手段です。
ポイント
- 強度の比較:SMS OTP < TOTPアプリ < ハードウェアキー/パスキー
- MFA導入だけでアカウント侵害の約99.9%を防御(Microsoft調査)
- Evilginx等のAiTM(中間者)フィッシングはSMS・TOTPをバイパス可能
- 管理者・特権アカウントへのMFA適用は最優先事項
関連用語
多要素認証が登場する記事・比較
よくある質問
多要素認証とは?
2種類以上の認証要素(知識・所持・生体)を組み合わせる認証方式。パスワード単体より大幅にセキュリティを向上できる。SMS・TOTP・ハードウェアキーなどが利用される。
多要素認証について詳しく知るには?
MFAを導入するだけでアカウント乗っ取りの99.9%を防御できるというMicrosoftの調査があります。ただしSMS OTPはSIMスワッピングやSS7攻撃で傍受されるリスクがあり、TOTPアプリはEvilginxなどのプロキシ型フィッシングでバイパスされる場合があります。FIDO2/パスキーがフィッシング耐性の面で最も強力なMFA手段です。
多要素認証のポイントは?
強度の比較:SMS OTP < TOTPアプリ < ハードウェアキー/パスキー MFA導入だけでアカウント侵害の約99.9%を防御(Microsoft調査) Evilginx等のAiTM(中間者)フィッシングはSMS・TOTPをバイパス可能 管理者・特権アカウントへのMFA適用は最優先事項
同じカテゴリの用語(基礎概念)
ユーザー、端末、リソース、場所、時刻などの属性を条件にしてアクセス可否を判断する方式。…
誰が、いつ、何にアクセスし、どの操作を行ったかを追跡するための監査用ログ。…
侵害や障害が起きたときに影響が広がる範囲。権限、ネットワーク、データ連携、依存関係で変わる。…
ブラウザ拡張機能が閲覧データ、タブ、サイト、Cookie、ストレージなどへアクセスするために要求する権限。…
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
インシデント対応中に関係者が連絡、判断、報告を行うためのチャット、電話、会議、チケットなどの連絡経路。…