のちょうどいい
サイバーセキュリティ

二要素認証は完全じゃない?

 

このタイトルに興味を持っていただいた方に、

先に結論をお伝えします。

 

二要素認証(2FA)があれば、

フィッシングに引っかかっても大丈夫か?

 

答えはNoです。

 

え、でもなんで?

と思った方は、もう少しだけ読み進めてください。↓

 

自己紹介と前提

僕はITとは全く関係のない業界からITへ転職して、

だいたい6年ほど。半分はサイバーセキュリティ業界で

技術営業(セールスエンジニア)として活動しています。

毎日が学びと刺激の連続。

 

LINEでサイバーセキュリティに関する無料相談も受け付けています。

悩みがある方は、迷わず一緒にヒントを見つけましょう!

画面最下部のボタンから無料相談受付中です。

 

二要素認証(2FA)とは?

2FAは、ユーザー名+パスワードに加えて、

事前に登録した端末(厳密にはアカウントIDや電話番号に紐づくトークン)で

しか確認できない数桁のコードなどを用いて、

もう一段の認証を行う仕組みです。

 

つまり、「パスワード」+「ワンタイムコード」でログイン。

このワンタイムコードは30秒前後で更新され、

端末ごと盗られない限り悪用は困難。

 

二段階認証と何が違うの?

言い回しが似ていますが、実は意味が違います。

 

二段階認証:パスワードが正しいと次の段階に進む(パスワードが間違っていれば次に進めない)。

二要素認証:パスワードが間違っていても追加要素の入力画面に進む設計があり得る。

 

この違いが重要です。総当たり(ブルートフォース)耐性の観点で、

二要素認証の方が強固といえます。

理由は、攻撃者が「何が間違っているか」を切り分けにくいから。

 

フィッシング攻撃の基本

フィッシングは、偽のWebサイトやメールで本物を装い、

被害者にログインさせて認証情報(ID/パスワード)を盗む手口です。

攻撃者は盗んだ情報で本物のサイトにアクセスする流れ。

 

昔は日本語の不自然さで見抜けることもありましたが、

今は翻訳精度が上がり、さらに生成AIで自然な文面が数秒で作られます。

「気をつける」だけの対策は、現実的に限界があります。

 

ただし、通常のフィッシングで盗めるのは基本的にパスワードまで

2FAが有効なら、それだけで多くの不正ログインは防げます。

 

MITM(中間者)攻撃とは

フィッシングと少し違う代表例がMITM(Man In The Middle)

偽のWi-Fiスポットを用意し、そこを経由させることで通信を盗聴・改ざんする攻撃です。

 

公共Wi-Fiの“フリ”をしたアクセスポイントに自動接続させ、

通過するトラフィックをのぞき見る。標的は絞りにくいものの、

その場の不特定多数がリスクにさらされます。

 

そして本題:AiTM(Adversary-in-the-Middle)攻撃

MITMのクラウド時代版とも言えるのがAiTMです。

読み方や“iだけ小文字”の理由はさておき、

問題は2FAを突破できてしまう点にあります。

 

仕組みはこうです。

① 攻撃者が用意したURLにアクセスさせる(見た目は本物のログインページ)。

② そのURLは攻撃者のリバースプロキシを経由して本物に中継。

③ 被害者は本物の2FAを正しく通過。

④ その瞬間に発行されるセッションクッキー(認証済みの証)を攻撃者が横取り。

⑤ 攻撃者が自分のブラウザにそのクッキーを設定すると、

 パスワードも2FAも不要でログイン済み状態が成立。

 

結果、OktaやMicrosoft 365などのID管理・SaaSに不正ログインされ、

ユーザー追加・権限変更・認証手段の差し替えといった

乗っ取り完了の操作が数分で行われることも。

 

なぜ2FAだけでは足りないのか

2FAは「パスワードの漏えい」に強いが、

「セッションの乗っ取り」には弱い、これが本質です。

AiTMは“認証そのもの”を攻撃するのではなく、

認証後の状態(セッション)を奪うからです。

 

ではどう守る?実装のポイント

フィッシング耐性のある多要素認証(FIDO2/WebAuthn等のフィッシング耐性MFA)の利用。

 (クッキーを奪われても、端末・オリジン紐づけで再利用を困難にする方向)

条件付きアクセス/リスクベース認証:端末・場所・挙動が変われば追加検証。

連続再認証:重要操作時に都度デバイス側での実在確認を要求。

セッション保護:短めの有効期限、トークン再発行時のデバイス・場所検証。

EDR/XDR+ログ監視:不自然な認証、急な権限変更、横展開の兆候を即検知。

メール・ブラウザの衛生:ブランド偽装保護、URL改ざん検知、隔離ブラウジング等。

 

まとめ:安心の“前提”を更新する

結論、「2FAがあれば安心」は過去の常識です。

怖いのは、攻撃されても攻撃に気づけないこと。

気づいたときには全システムにアクセスされ、情報は既に抜かれ、

被害が拡大している――という最悪のシナリオもあり得ます。

 

だからこそ、

フィッシング耐性MFA+リスクベース認証+セッション監視

そしてEDR/MDRによる初動対応まで含めた「運用」で守る。

 

2FAは重要です。ただし十分条件ではない

“ちょうどいい”現実解は、

技術・運用・教育の三位一体で、侵入後も崩れない守りを作ること。

 

不安があれば、短いヒアリングからでOKです。

最短ルートで「今の自社に必要な対策」を一緒に描いていきましょう。

 

ではまた。

 

またご意見などがありましたら、

是非とも以下のLINEやメールでご連絡お待ちしています。

その他SNSでも
様々な情報をお届けしていますので
ぜひチェックしてください!↓