多要素認証とは｜3要素・対策・事例

概要

多要素認証（MFA：Multi-Factor Authentication）とは、利用者本人であることを確認する際に、性質の異なる2つ以上の「認証要素」を組み合わせて認証する方式です。パスワードだけに頼る認証は、漏えいやリスト型攻撃で突破されやすいため、別の要素を加えることで不正ログインを大幅に防ぎます。

「2つ以上の異なる要素」を使うのが多要素認証で、特に2つを使う場合を二要素認証（2FA）と呼びます。なお、「二段階認証」は手順が2回という意味で、必ずしも異なる要素とは限らない点に注意が必要です。

詳細（認証の3要素）

認証要素は次の3つに分類されます。多要素認証では、このうち異なる種類を組み合わせることがポイントです。

関連する認証技術

• ワンタイムパスワード（OTP）：一度きり・短時間だけ有効なパスワード。盗み見されても再利用されにくい。
• 生体認証：偽造が難しい反面、本人拒否率（FRR）と他人受入率（FAR）のバランス調整が必要。
• FIDO／パスキー：パスワードレスで、フィッシングに強い公開鍵ベースの認証。

対策・導入のポイント

多要素認証は、それ自体が不正アクセス・なりすましに対する強力な対策です。導入時は次の点に注意します。

• VPN・クラウドサービス・管理者アカウントなど、侵入されると影響が大きい入口から優先して適用する。
• SMSによるOTPはSIMスワップ等のリスクがあるため、認証アプリやハードウェアキーがより安全。
• 紛失・故障に備えたバックアップ手段（リカバリーコード等）を用意し、運用負荷とのバランスをとる。
• 利便性向上のため、シングルサインオン（SSO）やリスクベース認証（普段と違うアクセス時のみ追加認証）と組み合わせる。

インシデント事例

パスワードリスト攻撃による不正ログイン

他サービスから流出したID・パスワードを使い回す利用者を狙い、リスト型攻撃で不正ログインされ、ポイントや個人情報が悪用される被害が多数発生しています。多要素認証を有効にしていれば、パスワードが正しくても第2の要素で阻止できた事例が多くあります。

MFA疲労攻撃（プッシュ通知の悪用）

攻撃者がログインを何度も試み、利用者のスマホに承認プッシュ通知を大量に送りつけ、「うっかり承認」させて突破する手口（MFA疲労攻撃）も登場しています。「身に覚えのない承認要求は拒否する」という教育や、番号照合型MFAでの対策が重要です。

試験での問われ方

• 「多要素認証に該当する組み合わせはどれか」→ 知識＋所持など異なる要素の組み合わせを選ぶ。
• 「認証の3要素（知識・所持・生体）の具体例の分類」。
• 「パスワードリスト攻撃への有効な対策はどれか」→ 多要素認証。