用語解説 · wallet-and-security

Two-Factor Authentication (2FA)

二段階認証（2FA）

wallet-and-security 新手

30秒バージョン · 忙しい方へ

二段階認証（2FA）は、アカウントにログインするために2種類の異なる認証方式を必要とするセキュリティ機構です。第一の要素は通常、あなたが「知っていること」——パスワード。第二の要素はあなたが「持っているもの」——例えばスマートフォン上のワンタイムパスワード（OTP）または物理的なセキュリティキーです。ハッカーがパスワードを取得しても、第二の要素がなければまだ入れません。暗号資産の世界では、2FAを有効にすることは取引所アカウント、メール、資産を保有するあらゆるアカウントを保護するための最も基本的でコストの低いセキュリティ対策の一つです。

詳しく読む +

01 · これは何？

二段階認証（2FA）とは何か、なぜパスワードだけでは不十分なのか。2FAはアクセスを許可する前に2つの独立した認証を要求するセキュリティ機構です。「2つの独立」は要素が異なるカテゴリから来ることを意味します。一つはあなたが「知っていること」（知識）——パスワードやPINなど。二つはあなたが「持っているもの」（所有）——スマートフォンの確認コードや物理的なセキュリティキーなど。パスワードだけの問題は、フィッシングで盗まれ、データベース漏洩で流出し、総当たりで解読される可能性があることです。一度漏れると、攻撃者はアカウントに完全にアクセスできます。2FAの設計により、攻撃者がパスワードを取得しても、第二の要素がなくてはログインできません。暗号資産の世界では、侵害された取引所アカウントは通常すぐに資産が一掃され、回復メカニズムもなく——2FAを「任意」から「必須」のセキュリティ習慣にします。

02 · なぜ存在する？

一般的な2FAの形式にはどんなものがあり、最も安全なのはどれか。主なタイプを弱から強の順に。第一にSMS OTP：最も一般的で便利ですが最も弱い。問題は電話番号が「SIMスワップ」攻撃に弱いことです——攻撃者が通信会社を騙してあなたの番号を自分のSIMに転送させ、SMSコードを傍受できます。可能ならSMSだけに頼った2FAは避けましょう。第二に認証アプリ（Google AuthenticatorやAuthyなど）：スマートフォンで30秒ごとに新しい6桁のOTPを生成します。インターネットなしで動作し、SMSよりはるかに安全——現在ほとんどのユーザーに推奨されるスタンダードな選択です。第三に物理的なハードウェアセキュリティキー（YubiKeyなど）：コンピューターのUSBに挿すかスマートフォンのNFCに近づけて認証します。最も安全な形式——誰かがパスワードをコピーしたりフィッシングサイトを作っても、物理的なキーがなければ認証は失敗します。

03 · 意思決定にどう影響する？

暗号資産の世界では2FAを有効にしてもどんなリスクに注意すべきか。2FAはセキュリティを大幅に高めますが、無敵の盾ではありません。いくつかの暗号資産特有の2FA関連リスク。第一にフィッシングサイト：偽の取引所サイトでユーザー名、パスワード、OTPを入力すると、攻撃者はその3つをすぐに本物の取引所でのログインに使います——「リアルタイムフィッシング」と呼ばれます。アプリ形式のOTPはこれに対してほぼ防御できません。ハードウェアセキュリティキーはサイトのドメインを検証するため、この攻撃を防げます。第二にスマートフォン紛失またはアプリデータ紛失：認証アプリのバックアップコードとシードは非常に重要です——機種変更時に移行しなかったり、アプリデータが消去されると、自分のアカウントから締め出されます。バックアップコードは安全な場所にオフラインで保存しましょう。第三にSMS 2FAを標的にしたSIMスワッピング：前述のように通信詐欺であなたの番号を転送できます。SMS 2FAを設定したアカウントはこれが現実の攻撃面で、アプリか物理キーに切り替えるべきです。

04 · どうすればいい？

2FAをどう設定するか、実際のアドバイスは何か。いくつかの実際的なステップ。第一に優先順序：すべてのアカウントで最初に有効にすべきは、メール（他のアカウントのパスワードリセットは通常メールに届くため、メールが侵害されるとすべてのアカウントが侵害される）と取引所アカウント（直接資産を保有）です。第二にSMSよりアプリ：プラットフォームがアプリ2FAとSMS 2FAを提供するなら、アプリを選択。Google AuthenticatorまたはAuthyをダウンロードし、QRコードをスキャンして設定します。第三にバックアップコードをオフラインで保存：2FAを設定すると、プラットフォームは通常「バックアップリカバリーコード」を提供します——書き留めるか印刷し、安全なオフラインの場所に置きましょう（スマートフォンやクラウドに保存しない）。スマートフォンを紛失した場合、これが命綱になります。第四に能力があればハードウェアキーを検討：YubiKeyなどの物理セキュリティキーはフィッシング攻撃への対策として最も効果的で、特に大きな資産の管理アカウントに適しています。

具体例 +

2FAを有効にしていない場合のコストを一般的な事故シナリオで感じましょう。主流のプラットフォームのアカウントに5,000ドル相当の資産があるとします。ある日、本物のプラットフォームとほぼ同一に見えるメールを受け取り、件名は「セキュリティ警告：今すぐアカウントを確認してください」、リンクが含まれています。

リンクをクリックし、本物と区別がつかないログインページを見て、ユーザー名とパスワードを入力します。2FAを有効にしていません。

これはフィッシングサイトです。認証情報を入力した瞬間、攻撃者の自動スクリプトがすでにそれを本物のプラットフォームのログインに送信し、アカウントのすべての資産を即座に引き出しています。このプロセス全体に30秒しかかからないかもしれません。

別のシナリオ：認証アプリの2FAを有効にしています。攻撃者がユーザー名とパスワードを取得し、本物のプラットフォームへのログインを試みますが、OTPコードの入力を求められます。スマートフォンがなく、30秒で期限切れになるコードを取得できず、ログインは失敗します。あなたの資産は無事です。

この対比は2FAの最も直接的な意味を示します。何らかの不注意でパスワードが漏れても、追加の扉が即座の損失を防ぎます。暗号資産の世界では、その扉のコストはほぼゼロですが、何千、何万ドルの資産を救えます。

図解

スクリーンショット歓迎。転載時は出典を明記してください。

よくある誤解 +

✕ 誤解 1

× 誤解1：パスワードが十分強くて複雑なので2FAは不要だ。パスワードの複雑さと2FAは保護の2つの異なる次元です。複雑なパスワードでも、フィッシングサイトで正しく入力したり、よく使うサイトのデータベース侵害で攻撃者がパスワードを入手する可能性があります。2FAは強いパスワードの代替でなく、パスワードの防衛線がすでに突破された後の第二の防護層です。

✕ 誤解 2

× 誤解2：2FAを有効にすれば、アカウントは完全に安全で安心できる。完全には正確ではありません。2FAはセキュリティを大幅に高めますが万能ではありません。前述のように、リアルタイムフィッシング攻撃はユーザーがOTPを入力した瞬間にそれを中継できます。SIMスワッピングはSMS 2FAを回避できます。2FAは必要なセキュリティ層ですが、公式ブックマークを使いリンクをクリックしない、不審なサイトで認証情報を入力しない、ログイン履歴を定期的に確認するといったことと組み合わせる必要があります。

The Missing Link +

直接的な影響

2FAのトレードオフは、大幅に強化されたセキュリティとわずかに増した操作の摩擦の間にあります。2FAを有効にすると、毎回のログインに追加のステップが必要です。スマートフォンが手元になかったり、認証アプリのバックアップができていないと、自分のアカウントから締め出されることがあります。しかしこれらの不便は、資産盗難のコストと比べて完全に不均衡です。暗号資産の世界では、このトレードオフはほぼ疑いなく明確です。追加の1ステップで、単一パスワードの漏洩が直接的な資産損失を引き起こさなくなります。より高度な考慮：異なる強度の2FAにも独自のトレードオフがあります——SMSは便利ですが弱く、アプリはバランスが取れており推奨、ハードウェアキーは最も強力ですがコストが高く携帯が不便です。ほとんどのユーザーにはアプリ2FAが非常に合理的な選択です。大きな資産を管理するアカウントにはハードウェアキーを検討する価値があります。

← 前の用語

Token Approval

質問する