二経路認証とは？ わかりやすく10分で解説

二経路認証とは

二経路認証とは、ログインや取引操作を行う経路とは別の通信チャネルで、本人確認や取引内容の承認を行う仕組みです。英語ではアウト・オブ・バンド認証（Out-of-Band Authentication）と呼ばれます。典型例は、PCで振込内容を作成し、スマートフォンの認証アプリで振込先や金額を確認して承認する構成です。

二経路認証の狙いは、第一経路だけが侵害された場合でも、不正な操作を第二経路で止めることにあります。特に金融取引や管理者操作では、単にログインできるかどうかではなく、「いま承認しようとしている操作内容が本人の意図と一致しているか」を確認できる設計が重要になります。

二要素認証（2FA）や多要素認証（MFA）は、知識情報、所持情報、生体情報など複数の認証要素を組み合わせる考え方です。一方、二経路認証は、主たる操作経路とは別の通信チャネルを使う点に重点があります。実際のシステムでは、二経路認証が多要素認証の一部として実装されることもあります。

二経路認証の基本イメージ

• 第一経路：取引内容の作成。例として、PCのブラウザで振込先や金額を入力する操作が該当します。
• 第二経路：取引内容の確認と承認。例として、スマートフォンの認証アプリ、通知、電話、SMSなどを使った確認が該当します。

ここで重要なのは、第二経路に表示される内容が、第一経路の画面表示をそのまま転送したものではなく、サーバー側で受け付けた取引内容と対応していることです。第二経路で「承認」ボタンだけを表示しても、利用者は改ざん後の振込先や金額を確認できません。取引内容を確認できる形にして初めて、二経路に分ける意味が出ます。

二経路認証が必要とされる背景

オンライン取引では、ログイン後の操作が攻撃対象になります。IDとパスワードを盗まれるだけでなく、ログイン後の画面操作や取引内容が改ざんされる場合もあります。このため、認証の時点だけでなく、重要な操作を実行する直前に別経路で確認する設計が使われます。

• 端末感染：PCがマルウェアに感染し、利用者が入力した振込先や金額が裏側で変更される場合があります。
• フィッシング詐欺：偽サイトに誘導され、ID、パスワード、認証コードを入力させられる場合があります。
• セッションハイジャック：ログイン後のセッションを攻撃者に悪用され、本人の意図しない操作を実行される場合があります。
• 承認疲れ：プッシュ通知が繰り返し送られ、利用者が内容を確認せずに承認してしまう場合があります。

二経路認証は、これらすべてを単独で解決する仕組みではありません。ただし、第二経路で取引内容を確認し、承認対象と承認者を結び付ける設計にすれば、第一経路だけに依存する構成よりも不正操作を止めやすくなります。

二経路認証の利用場面

インターネットバンキング

振込、振替、受取人登録、限度額変更など、金銭移動や資産保護に直結する操作では、二経路認証が採用されやすい領域です。第二経路に振込先、金額、実行日時などを表示し、利用者が確認したうえで承認する構成にすると、第一経路での改ざんに気づきやすくなります。

管理者操作

管理者権限の付与、権限変更、重要データのエクスポート、セキュリティ設定の変更などにも二経路認証を適用できます。通常のログインとは別に、操作実行時の承認を求めることで、アカウント乗っ取り後の被害拡大を抑えます。

高リスク取引や重要ワークフロー

金銭、個人情報、機密情報、システム設定に影響する操作では、ログイン時の認証だけでは不足する場合があります。承認対象の内容、承認者、時刻、承認結果を記録することで、事後調査や内部統制にも使いやすくなります。

二経路認証の実装パターン

スマートフォンアプリで承認する

スマートフォンの認証アプリに通知を送り、利用者がアプリ上で内容を確認して承認する方式です。利便性を確保しやすい一方で、通知に承認内容が十分に表示されていない場合や、承認要求が過剰に送られる場合は、誤承認のリスクが残ります。金額、宛先、操作種別など、判断に必要な項目を表示する設計が必要になります。

取引内容を表示して確認する

第二経路に、振込先、金額、受取人、操作種別などの取引内容を表示し、利用者が内容を確認して承認する方式です。OWASPの取引承認に関する指針でも、利用者が重要な取引データを識別し、承認できることが重視されています。この考え方は、金融取引だけでなく、管理者操作や重要データ操作にも応用できます。

ワンタイムパスワードを使う

ワンタイムパスワード（OTP）は、二経路認証の一部として使われることがあります。ただし、OTPを入力させるだけでは、利用者が承認対象の内容を確認したことにはなりません。取引内容の確認を目的にする場合は、OTPの入力に加えて、承認対象の内容を第二経路に表示する設計が必要です。

SMSや電話で確認する

SMS認証や音声通話による確認は、導入しやすい方式です。ただし、電話網を使うアウト・オブ・バンド認証は、番号移転、SIMスワップ、端末紛失、受信環境の制約などを考慮する必要があります。NIST SP 800-63Bでも、PSTNを使うアウト・オブ・バンド認証は制限付きの認証方式として扱われています。重要操作では、認証アプリ、セキュリティキー、暗号学的な署名など、より耐性の高い方式も比較対象にします。

二経路認証のメリット

• 第一経路の侵害だけでは操作を完了しにくい：PCやブラウザが侵害されても、第二経路で承認を求められるため、不正操作を止められる可能性があります。
• 取引内容の改ざんに気づきやすい：第二経路にサーバー側で受け付けた内容を表示すれば、利用者は自分が意図した内容と照合できます。
• 高リスク操作に追加確認をかけられる：すべての操作に適用せず、振込、権限変更、重要データの出力などに絞ることで、利便性と安全性のバランスを取りやすくなります。
• 監査証跡を残しやすい：承認対象、承認者、承認時刻、承認結果を記録すれば、事後調査や内部監査で確認しやすくなります。

二経路認証の注意点と限界

第二経路が侵害される場合がある

スマートフォンの盗難、端末感染、アカウント乗っ取り、SIMスワップなどにより、第二経路そのものが攻撃される場合があります。第二経路のアプリを起動する際に端末ロック、生体認証、PINなどを求める設計や、端末変更時の再登録手順を厳格にする運用が求められます。

承認内容が不足すると効果が下がる

第二経路に「承認しますか」という通知だけを出しても、利用者は何を承認するのか判断できません。二経路認証で改ざんを検知するには、振込先、金額、操作対象、変更内容など、承認判断に必要な情報を第二経路に表示します。

誤承認や承認疲れを防ぐ設計が必要になる

プッシュ通知を多用すると、利用者が内容を確認せず承認する可能性があります。承認要求の頻度制御、番号照合、QRコードを使った明示的な操作、承認対象の強調表示などを組み合わせ、利用者が能動的に確認する流れにします。

例外運用が弱いと抜け道になる

端末紛失、機種変更、電話番号変更、アプリ再登録などの例外処理が弱いと、攻撃者は通常の承認経路ではなく再登録手続きを狙います。本人確認、再登録の通知、旧端末の失効、管理者承認、一定時間の高リスク操作制限などを設計に含めます。

二経路認証を導入するときの確認項目

• 守る対象：ログイン、振込、受取人登録、管理者操作、データ出力など、どの操作に適用するかを決めます。
• 第二経路に表示する情報：金額、宛先、操作種別、変更前後の値など、利用者が判断できる情報を選びます。
• 承認の有効期限：承認要求やコードを一定時間で失効させ、再利用できないようにします。
• 再登録手順：端末紛失や機種変更時の本人確認、旧端末の失効、通知方法を定めます。
• 監視とログ：失敗回数、連続した承認要求、異常な端末変更、普段と異なる操作を検知できるようにします。
• 代替手段：SMSや電話に依存する場合は、利用できない利用者向けの別方式を用意します。

まとめ

二経路認証は、取引や重要操作の作成経路と承認経路を分け、第一経路が侵害された場合でも不正操作を成立させにくくする仕組みです。効果を出すには、第二経路で承認対象の内容を確認できること、承認要求が元の取引と結び付いていること、端末変更や再登録の例外処理を厳格にすることが欠かせません。

二要素認証や多要素認証と同じものとして扱うのではなく、「どの操作を、どの別経路で、どの内容まで確認させるのか」を設計する必要があります。特に金融取引、管理者操作、重要データ操作では、利便性だけでなく、誤承認、第二経路の乗っ取り、再登録手続きの悪用まで含めて評価します。

参考資料

• NIST SP 800-63B Digital Identity Guidelines: Authentication and Authenticator Management
• OWASP Cheat Sheet Series: Transaction Authorization Cheat Sheet
• OWASP Application Security Verification Standard: Authentication

二経路認証に関するFAQ