多要素認証(MFA)セキュリティ強度ランキング|認証方式の強さと弱点を徹底解説
セキュリティ強度ランキング
パスワードだけでは守れない時代、多要素認証(MFA:Multi-Factor Authentication)はいまや企業のセキュリティ対策の基本となっています。しかし一口に「多要素認証を導入している」といっても、認証方式によってセキュリティの強さは大きく異なります。
本記事では、代表的なMFA認証方式をセキュリティ強度の高い順にランキングし、それぞれの仕組み・メリット・弱点・実際の攻撃手法をわかりやすく解説します。
多要素認証(MFA)とは
MFAとは、ログイン時に2つ以上の異なる種類の認証要素を組み合わせて本人確認する仕組みです。認証要素は以下の3種類に分類されます。
| 要素の種類 | 説明 | 例 |
|---|---|---|
| 知識要素 | 本人だけが知っている情報 | パスワード、PIN、秘密の質問 |
| 所持要素 | 本人だけが持っているもの | スマホ、ハードウェアキー、ICカード |
| 生体要素 | 本人の身体的特徴 | 指紋、顔認証、虹彩認証 |
パスワード単体(知識要素のみ)と比べ、MFAは複数の要素を組み合わせるため、パスワードが漏洩しても不正ログインを防げるのが最大のメリットです。
認証方式セキュリティ強度ランキング(概要)
| 順位 | 認証方式 | 強度 | フィッシング耐性 | 主な弱点 |
|---|---|---|---|---|
| 🥇 | ハードウェアセキュリティキー(FIDO2) | ★★★★★ | ◎ 完全耐性 | 紛失・コスト |
| 🥈 | パスキー(Passkey) | ★★★★★ | ◎ 完全耐性 | デバイス依存 |
| 🥉 | 認証アプリ(TOTP) | ★★★★☆ | △ 条件付き | リアルタイム中継攻撃 |
| 4位 | プッシュ通知認証 | ★★★☆☆ | △ 条件付き | MFA疲労攻撃 |
| 5位 | SMS/電話認証 | ★★☆☆☆ | ✗ 耐性なし | SIMスワッピング、SS7攻撃 |
| 6位 | メール認証 | ★☆☆☆☆ | ✗ 耐性なし | メールアカウント侵害 |
※ セキュリティ強度は一般的な評価基準をもとにした目安です。
🥇 1位:ハードウェアセキュリティキー(FIDO2/WebAuthn)
YubiKeyやGoogle Titan Keyなどの物理的なUSB/NFC機器を使う認証方式です。FIDO2/WebAuthn規格に基づき、デバイスと認証サーバー間で公開鍵暗号方式を用いた認証を行います。
🔷 なぜ最強なのか
- フィッシングサイトに絶対に反応しない:認証はサイトのオリジン(ドメイン)に紐づいており、偽サイトでは動作しない
- 中間者攻撃(MITM)に耐性:通信を傍受されても認証情報を奪えない
- マルウェアによる認証情報盗取が不可能:秘密鍵はデバイス内のセキュアエレメントから外に出ない
⚠️ 弱点・注意点
- キーを紛失・盗難された場合のリスク(バックアップキーの用意が必須)
- 1デバイスあたり数千円〜のコストが発生する
- 全従業員への配布・管理が必要
🥈 2位:パスキー(Passkey)
パスキーはFIDO2規格をベースにした次世代の認証方式で、Apple・Google・Microsoftが共同で推進しています。デバイスの生体認証(指紋・顔認証)と連携し、パスワードなしでログインできます。
🔷 なぜ強いのか
- ハードウェアキーと同様にフィッシング耐性が完全
- パスワード自体を廃止できるため、パスワード漏洩リスクがゼロ
- 生体認証との組み合わせで「所持+生体」の2要素を同時に満たす
- スマホやPCに内蔵できるため追加コスト不要
⚠️ 弱点・注意点
- デバイスを失うとパスキーも失われる(クラウド同期の設定が重要)
- 対応サービスがまだ拡大中(2024年以降急速に普及)
- 古いシステムとの互換性がない場合がある
🥉 3位:認証アプリ(TOTP)
Google Authenticator、Microsoft Authenticator、Authyなどのスマホアプリが生成する30秒ごとに変わるワンタイムパスワード(TOTP)を使う方式です。最も普及している「強めのMFA」と言えます。
🔷 強みと特徴
- パスワードが漏洩してもワンタイムPWがなければログイン不可
- 追加コストがほぼゼロ(無料アプリを使用)
- オフライン環境でも使用可能(ネット接続不要)
- ほぼすべてのクラウドサービスが対応
⚠️ 弱点:リアルタイム中継(Evilginx)攻撃
TOTPの最大の弱点は、リアルタイムフィッシング(中間者プロキシ)攻撃に対して無力な点です。
- 攻撃者が本物サイトと見分けのつかないプロキシサイトを用意
- 被害者がフィッシングメールのURLをクリックしてプロキシサイトにアクセス
- 被害者がパスワード+TOTPコードを入力 → 攻撃者がリアルタイムで本物サイトに中継
- 攻撃者のセッションが認証される → アカウント乗っ取り成功
TOTPは「完全なフィッシング耐性」はありませんが、自動化された大量攻撃への耐性は高く、標的型でなければ十分な防御力を持ちます。
4位:プッシュ通知認証
Duo Security、Microsoft Authenticator、Okta Verifyなどが提供する方式で、ログイン時にスマホへ「承認しますか?」というプッシュ通知が届き、ボタンタップで認証します。
🔷 強みと特徴
- コード入力不要でユーザー体験が非常に良い
- ログイン試行の通知で不審なアクセスに気づきやすい
- 場所・デバイス情報をプッシュ通知に表示できる製品もある
⚠️ 弱点:MFA疲労攻撃(MFA Fatigue)
攻撃者がパスワード取得後、大量のプッシュ通知を送り続けることで、「うっかり承認」「通知を止めるために承認」させる攻撃です。2022年のUber社やCircle社のセキュリティ侵害でも使われた実被害のある手法です。
対策として、承認時に数字コードの入力(ナンバーマッチング)を要求する機能を有効にすることが推奨されます。
5位:SMS/電話認証
ログイン時に携帯電話のSMSや音声通話でワンタイムコードを受け取る方式です。導入が容易なため広く使われていますが、セキュリティの専門機関からは推奨されていない方式です。
⚠️ 主な攻撃手法
| 攻撃手法 | 概要 |
|---|---|
| SIMスワッピング | 攻撃者が携帯キャリアを騙して被害者の電話番号を別のSIMに移管。SMS認証コードを横取りする |
| SS7プロトコル攻撃 | 電話網の基盤プロトコル(SS7)の脆弱性を悪用してSMSを傍受。高度な技術が必要だが実証されている |
| フィッシング中継 | 偽サイトで入力させたSMSコードをリアルタイムで使用 |
| マルウェアによるSMS窃取 | スマホにインストールされたマルウェアがSMSを読み取る |
米国国立標準技術研究所(NIST)は2016年のガイドライン改訂でSMS認証の使用を非推奨(Deprecated)としました。重要なシステムではSMS認証への依存を避けることを強く推奨します。
6位:メール認証
ログイン時にメールアドレス宛にワンタイムコードを送る方式です。「何もないよりはマシ」ですが、事実上MFAとしての効果は最も低い方式です。
⚠️ 根本的な問題
- メールアカウントが第二の侵入口になる:メールが乗っ取られれば認証コードも盗まれる
- フィッシング攻撃でメールアカウント認証情報が漏洩すると、MFAが完全に突破される
- 法人メールサーバーが侵害された場合、全アカウントが危険にさらされる
- メールの到達が遅延するとログインできないUX上の問題も
まとめ:企業に推奨する認証方式
企業のセキュリティ対策として推奨する認証方式の選択基準をまとめます。
| 対象・用途 | 推奨方式 | 理由 |
|---|---|---|
| 特権管理者・経営幹部 | ハードウェアキー(必須) | 最高レベルの保護が必要 |
| 全社員(標準) | パスキー または 認証アプリ | コストと強度のバランスが最適 |
| 外部パートナー・ゲスト | 認証アプリ または プッシュ通知 | 導入ハードルが低く十分な強度 |
| 一般ユーザー向けサービス | 認証アプリ(SMS は避ける) | SMS は SIMスワッピングのリスクあり |
強力なMFAも、パスワード自体が使い回されていては意味が薄れます。1Password Businessのようなパスワード管理ツールでパスワードを強固にしつつ、ハードウェアキーやパスキーを組み合わせることで、現時点で最高水準のセキュリティを実現できます。アーデントでは、MFA導入の設計から運用まで包括的にサポートしています。