Google認証システム移行:2段階認証を新しいスマートフォンに移行する
認証コードが保存されているスマートフォンを紛失すると、Coinbaseではアカウントが再び利用できるようになるまで48時間から72時間の本人確認待ち行列に並ばなければなりません。Binanceでは1週間かかる場合もあります。小規模な取引所では1ヶ月かかることもあります。これが認証システムを移行しない代償であり、このガイドが存在する唯一の理由です。
このガイドでは、iOSまたはAndroidでGoogle認証システム(Google Authenticator)を双方向で移行する方法について説明します。実際に機能する2つの方法、つまり2020年5月からお使いのスマートフォンに搭載されているアプリのQRコードエクスポートと、2023年4月に導入されたGoogleアカウントのクラウド同期(ただし、セキュリティ上の注意点があります)について解説します。また、古いスマートフォンを紛失または盗難された場合の緊急時の対処法、2段階認証コードを新しいスマートフォンに移行する際の落とし穴、復旧が必ずしも可能ではない高額なオンラインアカウントの対処法についても説明します。目標は、アカウントへのアクセスを失うことなくGoogle認証システムを移行し、Google認証システムのコードを安全に保管することです。
機種変更前にGoogle認証システムの移行が重要な理由
SMS 2FA は SIM と共に無効になります。ポートアウト攻撃、キャリアの切り替え、eSIM の転送の失敗などによって、コードは他人の電話に渡ってしまいます。FBI の 2024 年のインターネット犯罪レポートでは、SIM スワップに関する苦情が 982 件記録され、直接的な損失は 2,598 万ドルでした (2022 年の 7,265 万ドルから減少しましたが、同じ詐欺が依然として個人情報の盗難や仮想通貨ウォレットからの資金流出の入り口となっています)。認証アプリからのワンタイムコードは、キャリアネットワークではなくデバイスのセキュアストレージに保存されるため、Microsoft は何年も前から、2 要素認証をオンにすると自動化されたアカウント侵害の試みの 99.9% 以上をブロックできると主張できています。
トレードオフは明らかです。すべてのコードは1台のスマートフォンに保存されます。川に落としたり、誤って工場出荷時の設定にリセットしたり、子供に「5分だけ」渡したりした場合、各サービスの復旧手順を完了するまでアカウントにアクセスできなくなります。ですから、コードは保存し、自分が管理するデバイスでのみコードを生成し、新しいスマートフォンへの移行は定期的なメンテナンスとして捉えましょう。
始める前に:両方のスマートフォンでGoogle認証システムアプリを準備してください
転送失敗の意外な割合は、ソフトウェアの不具合ではなく、準備不足が原因です。最も頻繁に失敗する原因は次の3つです。古いアプリ、生体認証が設定されていない、不安定なWi-Fi。古いスマートフォンでGoogle認証システムを開き、起動して現在のローリングコードが表示されることを確認します。Google Play(Androidバージョン7.0以降、2024年11月14日リリース)またはApp Storeからアップデートします。新しいスマートフォンに同じGoogle認証システムアプリをインストールし、普段使用しているGoogleアカウントでサインインし、生体認証をオンにします。エクスポートプロンプトでは、指紋認証または顔認証がないとQRコードが表示されません。両方のデバイスを接続し、同じ信頼できるWi-Fiに接続し、VPNをすべて無効にします。
スマートフォンのアップデート中に、認証アプリに紐付けられているすべてのサービスをリストアップしてください。ほとんどの人は、Googleアカウント、GitHub、各種取引所、パスワードマネージャー、AWSコンソール、CMSなど、10個以上の認証アカウントを無意識のうちに持っています。下の表は、ユーザーがロックアウトされる原因となることが多いサービスのバックアップコードの保存場所を示しています。このリストと各サービスの強力なパスワードを手元に置いておきましょう。一部の復旧手順では、古いデバイスの紐付けを解除する前に、これらの両方が必要となる場合があります。
| サービス | バックアップコードが保存されている場所 | 注記 |
|---|---|---|
| Googleアカウント | myaccount.google.com → セキュリティ → 2段階認証 | 10個の使い捨てコード |
| マイクロソフト | account.microsoft.com → セキュリティ → 高度なセキュリティ | 復旧コード、メールによる代替手段 |
| GitHub | 設定 → パスワードと認証 → 復旧コード | 16個のコード |
| コインベース | 設定 → セキュリティ → バックアップコード | リセット時の本人確認に紐づいています |
| バイナンス | ユーザーセンター → セキュリティ → 2要素認証 | アカウント復旧には24時間から7日間かかります。 |
| AWS | IAMアイデンティティセンター → ユーザープロファイル | 最大8台のMFAデバイス |
| フェイスブック / インスタグラム | アカウントセンター → パスワードとセキュリティ | 10個の復旧コード |
エクスポートとインポート:QRコードでGoogle認証システムを転送
QRコードのエクスポート機能は2020年5月にリリースされました。これはGoogleのiOSヘルプページでも推奨されている方法で、選択したアカウントのシードをサーバーを介さずに、ある端末から別の端末へ転送します。クラウドもGoogleアカウントも不要です。
古いスマートフォンで始めます。アプリを開いてメニューを探します。Android では左上隅に 3 本の横線が表示されます。iPhone では通常右上隅に 3 つのドットが表示されますが、ビルドによっては下部に表示される場合もあります。メニューをタップし、「アカウントの転送」を選択してから「アカウントのエクスポート」を選択します。アプリは指紋、Face ID、またはデバイスのパスコードを要求します。生体認証プロンプトを通過すると、デバイス上のすべての Google Authenticator アカウントのリストが表示されます。移動したいアカウントにチェックを入れ (このボックスは複数選択に対応しています)、「次へ」をタップします。これで、アプリは一度に最大 10 個のアカウントの暗号化されたシード マテリアルを含む QR コードを生成します。10 個を超えるアカウントがある場合は、番号付きの QR コードのキューが表示され、アプリが現在表示している QR コードを示します。
次に、新しいスマートフォンを開きます。Google Authenticator を開き、「開始」をタップするか、アプリが既に初期化されている場合は右下のプラスアイコンをタップします。「QR コードをスキャン」を選択します。インポート手順で既存のアカウントからインポートするかどうかを尋ねられたら、「はい」を選択します。新しいスマートフォンを古いスマートフォンの画面の前にかざし、カメラが QR コードを捉えるまで待ちます。新しいデバイスにインポートされたアカウントが一覧表示されます。バッチ内の追加の QR コードについては、「次へ」をタップします。
元のコードは古いスマートフォンに残ります。まず新しいデバイスを検証し、その後クリーンアップしてください。連携済みのサービスを1つ開き、サインインして、新しい認証コードから取得した6桁の認証コードがサービス側で要求されるものと一致するか確認します。2つのサービスで問題なくログインできたら、古いスマートフォンのアプリからエントリを削除します。もしくは、より良い方法として、古いデバイスをリセットして再販することをお勧めします。
実際には、いくつかの問題が発生する可能性があります。Android から Android へのパスは、ほとんどの場合問題なく動作します。Android から iPhone へのインポートでは、特に QR コードのスキャン手順で 5 つ以上のエントリがエンコードされている場合、インポート後に一部のアカウントが表示されないことがあります。バッチ サイズを小さくして、もう一度試してください。iPhone から Android へのエクスポートでは、Google の iOS 実装が Android 実装よりも遅れているため、エクスポート画面でフリーズすることがあります。その場合は、アプリを強制終了し、再度開き、エクスポートをやり直してください。VPN クライアントによってはカメラのスロットリングが発生するため、どちらかのデバイスで VPN が有効になっているとスキャンが破損する可能性があります。転送中は VPN を無効にしてください。QR コードに含まれる転送コードは有効期限があるため、新しいスマートフォンの時計がずれている場合は、インポート後に無効なコードが表示されることがあります。アプリ メニューを開き、コードの時刻補正をタップしてデバイスの時計を再同期してください。
Google認証システムをGoogleアカウントと同期する
クラウド同期は、2023年4月24日にAndroid版6.0、iOS版4.0で追加された便利なログイン方法です。この機能を有効にすると、追加または削除したコードが、同じGoogleアカウントにログインしているすべての端末にQRコードなしで表示されます。ほとんどのカジュアルなログインでは、まさにユーザーが求めている機能です。
セキュリティ上の注意点については、少し立ち止まって考えてみる価値があります。2023年4月のサービス開始から48時間以内に、Mysk社のセキュリティ研究者たちは、TOTPシードをGoogleのサーバーに送信するトラフィックがエンドツーエンド暗号化されていないことを実証しました。Googleは「いずれ」E2EEを追加すると公約していますが、この記事執筆時点では、同期はGoogle独自のサーバー側暗号化のみで保護されており、つまりGoogle自身が技術的にシードを読み取ることができるということです。SpotifyやTwitterアカウントであれば、アクセスを失うこととのトレードオフとして許容範囲内でしょう。しかし、マスターパスワードマネージャーやカストディアル型の暗号通貨取引所であれば、私はQRコード方式を好み、多少の手間は許容します。
同期を有効にするには、古いスマートフォンでGoogle認証システムを開き、右上隅のアバターまたはプロフィールアイコンをタップして、バックアップとして使用するGoogleアカウントでサインインします。同期されたエントリの横に緑色の雲のアイコンが表示されます。新しいスマートフォンで同じアプリを開き、同じGoogleアカウントでサインインすると、数秒以内にコードが表示されます。QRコードをスキャンしたり、生体認証のプロンプトが表示されたりすることはありません。
摩擦をほとんど発生させずに Google Authenticator の転送を行いたい場合は、同期が解決策となりますが、エンドツーエンド イーサリアム (E2EE) が保証されていない設計に不安がある場合は、価値の低いアカウントにのみ使用してください。価値の高いシード (銀行、暗号通貨、重要な GitHub) は、QR エクスポートを使用して 1 つのデバイスに紐付けておくか、パスキーまたはハードウェア キーに完全に移行してください。CISA の 2022 年フィッシング耐性 MFA ファクト シート (2024 年に再確認) では、FIDO2 ハードウェア キーがどの TOTP 方式よりも優れていると評価されています。
古い電話機を使わずに、新しいデバイスでGoogle認証システムを設定する
古いスマートフォンが紛失、盗難、または故障している場合は、上記の方法はいずれも機能しません。なぜなら、いずれの方法も元のデバイスを必要とするからです。紛失前に同期を有効にしていない限り、「クラウドからの復元」はできません。以下の方法が唯一の選択肢ですが、時間がかかります。
連携しているサービスごとに、別の方法でログインし、新しいスマートフォンに2FAを個別に再連携させる必要があります。バックアップコードを使用すると、アカウントを最も早く復旧できます。Googleは2FA設定時にGoogleアカウントから10個の使い捨てバックアップコードを発行し、GitHubは16個、ほとんどの取引所は8~12個発行します。パスワードマネージャーに保存したり印刷したりしている場合は、いずれか1つを使用してログインし、セキュリティ設定に直接移動して、別のデバイスから古い認証コードの連携を削除し、新しいQRコードをスキャンして新しいスマートフォンをペアリングし、コードをGoogleアカウントに再度送信してください。
バックアップコードがない場合、手続きに時間がかかります。Coinbaseのヘルプドキュメントによると、2段階認証のリセットには48~72時間かかり、本人確認が行われるとさらに時間がかかります。銀行によっては、支店への来店が必要となる場合もあります。教訓:Google認証システムを初めて有効にした日に、バックアップコードをパスワードマネージャーに紐付けて設定し、印刷したコピーをスマートフォンとは別の場所に保管しておきましょう。いずれにしても、認証システムで保護されているオンラインアカウントごとに、ユーザー名と復旧用メールアドレスのチェックリストを作成しておきましょう。
アクセス権を失うことなく、Android端末とiPhone端末間で2段階認証コードを移行する
クロスプラットフォーム移行に関するヘルプスレッドが最も多く集まっています。Google Authenticator の転送は iOS と Android 間で双方向で機能しますが、2 つの失敗モードが繰り返し発生します。1 つ目は、エクスポート QR スキャンが正常に完了したにもかかわらず、新しいデバイスにアカウントの一部しか表示されない場合です。これは、特に iOS アプリが QR を生成する場合に、1 つの QR につき 10 アカウントという制限が静かに影響していることがほとんどです。エクスポートするアカウントを一度に 5 つに減らしてください。2 つ目は、コードが明らかに実行されているにもかかわらず、iOS のエクスポート メニューに「エクスポートするアカウントがありません」と表示される場合です。2026 ビルドでの修正は、最新の TestFlight または App Store バージョンに更新し、アプリを強制終了し、デバイスの生体認証設定を一度オフにしてからオンにすることです。
スキャンする前に、各エクスポート用QRコードのスクリーンショットを別のデバイスで撮るか、印刷しておきましょう。どのデバイスでもQRコードをスキャンしてインポートできますが、Googleでは同じエクスポートを再生成できないため、きれいなスクリーンショットを撮っておくことが、5分間の作業と上記のパニック状態との分かれ目となります。iOSでもAndroidでも、これらのQRコードのスクリーンショットを安全な場所(暗号化されたパスワードマネージャーのメモなど)に保存しておくことが、最も安価な保険となります。
仮想通貨取引所やWeb3ではGoogle認証システムアカウントを使用してください。
仮想通貨取引所やウォレットでのアカウント乗っ取りは事実上取り返しがつかない。資金が移動したら、それは失われる。認証コードは最低限の基準であり、Microsoft が 2024 年までの中間者攻撃型フィッシングが前年比 146% 増加したと報告していることから、TOTP だけでは不十分であることがわかる。2026 年 5 月の「行動規範」 AiTM キャンペーンは、26 か国の 13,000 の組織にわたる 35,000 人以上のユーザーに影響を与えた。攻撃者は正規のログインページをプロキシし、リアルタイムで TOTP コードをキャプチャし、ユーザーが気づく前にセッション Cookie を盗んだ。まずハードウェア キー (YubiKey など) をマスター Google アカウントにバインドし、次に取引所側に Authenticator を重ね、Authenticator が機能していることが確認されたらすぐに SMS 2FA を無効にする。FBI の 2024 年の IC3 のデータによると、サイバー犯罪による損失総額は 166 億ドルに達し、仮想通貨関連の苦情は毎年増加し続けている。
仮想通貨決済処理業者も、取引所と同様の扱いを受けるべきです。例えば、Plisioは加盟店アカウントでTOTPをサポートしており、Google Authenticator(またはTOTP対応アプリ)を介して連携させることで、送金取引を管理するダッシュボードを保護できます。新しいスマートフォンに移行する際は、決済ゲートウェイのダッシュボードをホットウォレットと同様に扱いましょう。つまり、QRコードのエクスポートのみを行い、クラウド同期は行わず、移行後に新しいバックアップコードを生成して保存します。
Google Authenticator アプリの代替案として検討する価値のあるもの
Authyの崩壊は市場を大きく揺るがした。2024年3月19日、Twilioは当初発表されていた8月よりも数ヶ月早くAuthyのデスクトップアプリを停止した。そして2024年7月、攻撃者が認証されていないAPIを通じて33,420,546件のAuthy電話番号を盗み出し、Twilioはこの侵害を認めた。わずか4ヶ月の間に2度の攻撃が発生した。Authyユーザーは散り散りになった。
| アプリ | クラウド同期 | E2EE同期 | プラットフォーム | オープンソース |
|---|---|---|---|---|
| Google認証システム | はい(2023年から) | いいえ(サーバー側のみ) | iOS、Android | いいえ |
| 2FAS | はい(任意) | はい | iOS、Android、ブラウザ | はい |
| イージス | いいえ(ローカルバックアップのみ) | 該当なし | アンドロイド | はい |
| エンテ認証 | はい | はい | iOS、Android、デスクトップ | はい |
| Microsoft Authenticator | はい | はい | iOS、Android | いいえ |
| iOS 18 パスワードアプリ | iCloudキーチェーン | はい | iOS、macOS | いいえ |
Appleは2024年9月に、注目すべき小さな変更を行いました。iOS 18では、iCloudキーチェーンが独立したパスワード専用アプリとして統合され、TOTPコードをネイティブに生成し、Safariで自動入力を行い、エンドツーエンド暗号化で同期するようになりました。Apple製品のみを使用するユーザーにとっては、別途認証アプリを用意する必要がなくなりました。それ以外のユーザーにとっては、上記の表が候補リストとなります。
送金後もGoogle認証システムのコードは安全に保管してください。
インポートが完了したらすぐにこのリストを確認してください。新しい電話から少なくとも3つの重要な連携サービスにログインし、コードが機能すること、および認証アプリのメイン画面に想定どおりのすべてのアカウントが表示されていることを確認します。移行したばかりのすべてのサービスでバックアップコードを再生成し、パスワードマネージャーと紙に別の場所に保管してください。古い電話を渡す前に、「iPhoneを探す」または「Android端末を探す」を使用して古い電話を消去してください。マスターGoogleアカウントには、パスキーまたはハードウェアセキュリティキーを重ねて使用することで、認証アプリがインストールされた別の電話だけでは不十分になります。この重ね合わせた設定により、Microsoftが2026年まで追跡しているAiTMキャンペーンを阻止できます。さらに重要なのは、これにより、次のGoogle認証アプリの移行がパニックではなく15分で完了する作業になるということです。
