IT用語集

耐フィッシング多要素認証とは? 10分でわかりやすく解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

UnsplashMarkus Spiskeが撮影した写真

耐フィッシング多要素認証(Phishing-resistant MFA)は、フィッシング攻撃からアカウントを守るための有力な手段です。本記事では、耐フィッシング多要素認証の考え方、従来型MFAとの違い、代表的な方式、導入時の注意点を整理します。単に「MFAを導入した」だけでは防げない攻撃があるため、どの方式を選び、どのように運用するかが重要になります。

耐フィッシング多要素認証とは

耐フィッシング多要素認証の定義

耐フィッシング多要素認証とは、利用者が誤ってフィッシングサイト(偽のログイン画面)に誘導された場合でも、認証情報の入力や中継だけでは攻撃者が認証を成立させにくいよう設計された認証方式を中核に据えた多要素認証を指します。利用者の操作ミスを前提に、それでもなりすましログインを成立させないことを目的としています。

通常の多要素認証との違い

多要素認証(MFA)は、「知識(パスワードなど)」「所持(端末・トークン)」「生体(指紋・顔など)」といった複数の要素を組み合わせ、本人確認を強化します。ただし、MFAであればすべてがフィッシングに強いわけではありません。

分類フィッシングへの強さ理由(要点)
フィッシングに弱いMFASMS/メールOTP、認証アプリOTP(TOTP)弱い偽サイトに入力すると、コードが中継されて悪用される場合がある
中間(運用次第)プッシュ承認誤承認や承認疲れにより突破されるリスクがある
耐フィッシングMFAFIDO2/WebAuthn(セキュリティキー、パスキー)、端末・証明書ベース、スマートカードなど強い正規サイトと認証鍵が結びつき、偽サイトでは認証が成立しにくい

つまり「MFAを導入している=耐フィッシング」ではありません。どの方式を選ぶかが、防御力を左右します。

フィッシング攻撃で何が起きるか

フィッシング攻撃では、正規サイトを装った偽サイトへ利用者を誘導し、ID・パスワードや確認コードを入力させて盗み取ります。近年は、入力された情報をリアルタイムで中継し、そのまま正規サイトへログインする手口も確認されています。そのため、「ワンタイムだから安全」とは言い切れません。

導入のメリット

  1. 認証情報が漏えいしても、アカウント乗っ取りを成立させにくい
  2. パスワード依存を減らし、リセット対応などの運用負荷を軽減しやすい
  3. 管理者アカウントや重要業務の防御強度を高められる
  4. ゼロトラストの入口となる認証を強化し、SSO/IdPと連携しやすい

耐フィッシング多要素認証の仕組み

正規サイトと結びつく認証

耐フィッシング方式の代表例であるFIDO2/WebAuthnでは、認証に用いる鍵が正規サイト(オリジン)と結びついて管理されます。そのため、利用者が誤って偽サイトにアクセスしても、鍵が一致せず、認証が成立しにくくなります。

代表的な方式

  • FIDO2/WebAuthn:セキュリティキーやパスキーを用いる方式
  • 端末証明書(クライアント証明書):端末に紐づく証明書で認証し、入力情報の窃取型攻撃に強い
  • スマートカード:ICカードとPINの組み合わせで強度を高める方式

誤承認を減らすための工夫

プッシュ承認を利用する場合でも、次のような工夫によりリスクを下げることができます。

  • 番号照合(Number Matching)を必須にする
  • ログイン元の端末や場所、アプリ名を明確に表示する
  • 短時間に連続する承認要求を自動的に抑止する

ただし、これらは運用上の補強策であり、方式そのものが耐フィッシングになるわけではありません。重要なシステムでは、耐フィッシング方式を優先的に検討することが安全側の判断です。

導入方法

導入前の整理

  • 保護対象(メール、SSO、VPN、管理者、決裁など)の優先順位を決める
  • 既存の認証方式と課題を洗い出す
  • 利用端末や業務環境(社内・在宅・共有端末)を整理する

方式選定の考え方

  • 被害影響が大きい領域では、FIDO2/WebAuthnなど耐フィッシング方式を優先する
  • 全社一斉が難しい場合は、重要領域から段階的に導入する
  • 紛失や機種変更時の復旧フローを事前に設計する

導入後の運用

  • 認証ログを監視し、不審な試行や連続要求を検知する
  • 重要アカウントは必須化し、例外は期限付きで管理する
  • フィッシング事案が発生した場合は、教育と設定を見直す

まとめ

耐フィッシング多要素認証は、利用者のミスを前提に設計し、それでも認証突破を防ぐ考え方です。特に重要な領域では、FIDO2/WebAuthnや端末・証明書ベースの方式を中心に据え、段階的な導入と継続的な運用改善を行うことが現実的な対策といえるでしょう。

FAQ(よくある質問)

耐フィッシング多要素認証とは何ですか?

フィッシングサイトに誘導されても、攻撃者が認証を成立させにくい設計の認証方式を中心に構成した多要素認証です。

OTPは耐フィッシングですか?

OTPはパスワード単体より強力ですが、偽サイトに入力すると悪用される可能性があります。高い耐性が必要な領域では、FIDO2などを検討します。

プッシュ通知認証は安全ですか?

便利ですが、誤承認や承認疲れにより突破されるリスクがあります。運用設計が重要です。

代表的な耐フィッシング方式は何ですか?

FIDO2/WebAuthn(セキュリティキー、パスキー)が代表例です。

生体認証は耐フィッシングになりますか?

端末内のパスキーを生体認証で解錠する形であれば、耐フィッシングに寄与します。

どこから導入するのが現実的ですか?

管理者アカウントやメール、SSOなど、被害が大きい領域から始めるのが一般的です。

紛失・機種変更時の対応は?

本人確認を含む復旧フローを事前に設計し、例外が常態化しない運用が重要です。

耐フィッシングMFAだけで十分ですか?

認証強化は重要ですが、教育や監視など他の対策と組み合わせた多層防御が必要です。

リスクベース認証は必要ですか?

有効ですが、重要領域では耐フィッシング方式の必須化と併用するのが安全です。

導入後に注視すべき兆候は?

連続失敗や異常な地域・端末からの試行などです。ログ監視を継続します。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article