パスキーと2段階認証:どちらが暗号資産をより安全に保護できるか?
パスワードが、あなたが知る由もない情報漏洩で流出したとします。数週間後、誰かがあなたの仮想通貨取引所でそのパスワードを試しますが、あなたの残高と彼らの間に立ちはだかるのは、あなたの携帯電話に送信される6桁のコードだけです。そのコードこそが、長年、十分な防御壁となるはずでした。パスキーと2要素認証は、その防御壁が依然として信頼できるものなのかどうかを問う議論であり、資金が一方通行でしか動かない人にとって、その答えは最も重要な問題です。このガイドでは、両方の方法を分かりやすく説明し、直接比較し、実際に口座から資金を抜き取る攻撃が、従来の2要素認証ではほとんど減速しない理由を示します。
二段階認証(2FA)とは何ですか?
二要素認証(2ファクターと表記されることもあります)は、パスワードに追加される2つ目の認証方法であり、その仕組みは非常にシンプルなので、ほとんどの人が意識せずに利用しています。たとえ最初の認証要素が盗まれたとしても、ログインするには2つ目の認証要素が必要になります。セキュリティ担当者は、これらの認証要素を大まかに3つのカテゴリーに分類します。パスワードやPINなどの「知っているもの」、スマートフォンやハードウェアトークンなどの「持っているもの」、指紋認証や顔認証などの「本人であること」です。2FAは、これらのうち2つを組み合わせたものです。
問題は、すべての第二要素が同じ強度を持つわけではないことであり、「2FA オン」の切り替えスイッチはその事実をひっそりと隠している。SMS コードは最も脆弱な一般的なオプションであり、 Google Authenticatorのような認証アプリからのコード(通常は 30 秒ごとに更新される TOTP)は、それよりはるかに強力で、物理的なセキュリティ キーはさらに強力である。Microsoft は、MFA をオンにすると自動化されたアカウント攻撃の約 99.9% をブロックすると述べており、これは、大量の低労力な攻撃に対しては基本対策が効果的であることを示している。この記事全体で焦点を当てているのは、攻撃者が全く低労力でない場合はどうなるかということである。
一般的な第二因子を比較すると以下のようになります。
| 2FA方式 | 仕組み | フィッシング対策済み? | 主な弱点 |
|---|---|---|---|
| SMSコード | ワンタイムコードがあなたの電話番号にテキストメッセージで送信されます | いいえ | SIMスワップ、SS7傍受 |
| 認証アプリ(TOTP) | アプリ内のコードの回転 | いいえ | リアルタイムリレーフィッシング |
| 承認をプッシュする | スマートフォンで「承認」をタップしてください | いいえ | MFA疲労、即座の爆撃 |
| ハードウェアセキュリティキー | 差し込んだりタップしたりする物理キー | はい | 費用は、失われる可能性があります |
重要なポイントは一番下の行にあります。SMSコード、アプリコード、プッシュ通知はすべて、人間が誤ったサイトで入力するように誘導される可能性があるという共通の弱点を持っています。一方、ハードウェアセキュリティキーは、いかなる操作も通用しません。パスキーもまさにこの特性に基づいて構築されているため、真の分断はパスワードと二要素認証の間ではなく、フィッシングに弱い要素とフィッシングに強い要素の間にあるのです。
パスキーとは何か、そしてパスキーはどのように機能するのか
パスキーはより優れたコードではなく、暗号鍵のペアです。そして、そのペアを理解することこそが重要なのです。ウェブサイトやアプリのパスキーを作成すると、デバイスは、Apple、Google、Microsoftがパスワードレス認証の基盤として自社システムに組み込んでいるFIDO2およびWebAuthn規格を使用して、公開鍵と秘密鍵という2つの関連する値を静かに生成します。
パスキーの普及は急速に進んでいる。FIDO アライアンスの報告によると、2026年5月時点で約50億個のパスキーがアクティブに使用されており、消費者の75%が少なくとも1つのアカウントでパスキーを有効にしている。これはもはやニッチな機能ではない。
公開鍵と秘密鍵のハンドシェイク
2つの鍵を分離することで、パスキーの安全性が保たれます。公開鍵はウェブサイトがコピーを保管している南京錠、秘密鍵はそれを開けることができる唯一の鍵で、スマートフォンの中に封印されていると考えてください。ログインすると、サイトはデバイスに一度だけ署名するパズルを渡します。デバイスはそのパズルに秘密鍵で署名し、答えを送信します。サーバーはそれを既に保管している公開鍵と照合し、ログインが完了する仕組みです。秘密の情報はネットワーク上を一切流れないため、傍受している人が盗み出して後で再生することはできません。
生体認証またはデバイスのPINコードによって、ローカルで秘密鍵がロック解除され、署名が可能になります。指紋データはサーバーに送信されることもありません。これに対し、パスワードの場合は、ログインするたびにパスワード全体を相手に渡し、安全に保管してくれることを信頼しなければなりません。
パスキーの保存場所:同期型かデバイス固有型か
パスキーには2種類あります。同期型パスキーは、パスワードマネージャーやプラットフォームキーチェーン(Apple、Google、1Password、Bitwardenなどのツール)に保存され、複数のデバイス間で共有されます。デバイスに紐づくパスキー(ハードウェアセキュリティキーに紐づくものを含む)は、作成元のハードウェアから離れることはありません。同期型パスキーは、スマートフォンを紛失した場合でも便利で、デバイスに紐づくキーは、暗号鍵が引き出しなどに保管できる単一のデバイスに固定されているため、物理的なセキュリティが最も強力です。
パスキーと2要素認証:主な違い
両者の違いを最も分かりやすく理解する方法はこうです。2FAはパスワードに手順を追加するのに対し、パスキーはパスワードそのものを置き換える。このように理解すれば、あとは自然と理解できるでしょう。2FAは依然として、漏洩する可能性のある既知の秘密情報に依存しています。一方、パスキーにはそもそも漏洩する可能性のある共有秘密情報はありません。
このたった一つの変更が、フィッシング対策からログイン速度まで、あらゆる面に波及効果をもたらします。パスキーを導入したプロバイダーは、パスワードとSMSコードの組み合わせよりも、はるかに速く、成功率の高いサインインを実現していると報告しています。これは、入力する文字も待つ必要もないためです。以下の表に、主な違いを示します。
| 重要なこと | 2段階認証(パスワード+SMS/TOTP) | パスキー |
|---|---|---|
| パスワードを置き換えます | いいえ、それはそれに加えるものです | はい |
| フィッシング耐性 | いいえ(コードは中継できます) | はい(実数領域に紐づいています) |
| SIMスワッピングの被害に遭う | はい、SMSで | いいえ |
| 盗むための共有された秘密 | はい | いいえ |
| ログイン速度 | より遅い(コードを入力してください) | より速く(タップまたはスキャン) |
| デバイス紛失時の復旧 | バックアップコード/SMS | 同期キーまたはバックアップキー |
パスキー自体は2要素認証(2FA)または多要素認証(MFA)の一種と言えるのでしょうか?
人々がつまずくのは、まさにこのニュアンスです。パスキーのロックを解除する際、2つのチェックが同時に行われます。まず、秘密鍵を保存しているデバイスを所持していることを証明し、次に指紋認証または顔認証によって、そのデバイスが実際にあなたの手にあることを証明します。つまり、1回のタップで2つの要素が認証されるため、パスキー自体が多要素認証となるのです。これに従来の2要素認証を追加しても、追加されるのは2つ目のプロンプトであって、2つ目の障壁ではありません。
これが、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、真にフィッシング対策に優れた多要素認証(MFA)としてFIDO2/WebAuthnとPKIスマートカードのみを挙げている理由です。パスキーは第二要素の劣った代替品ではなく、設計上、単一のステップに統合された多要素認証なのです。
フィッシング攻撃は2段階認証を破るが、パスキーは破らない理由
フィッシングこそが、この議論の勝敗を分ける攻撃です。Verizon の2025年データ侵害調査報告書によると、侵害の22%は認証情報の盗難が原因であり、さらに16%はフィッシングが原因でした。つまり、これらは特殊な攻撃ではなく、ほとんどの侵入者が実際に通る正面玄関なのです。
よくある罠を想像してみてください。アカウントがロックされたという警告メールが届き、取引所とそっくりなページをクリックして、パスワードと認証アプリの6桁のコードを入力してしまう。本物のサイトではそのコードは問題なく使える。しかし、攻撃者がコピーしたサイトでは、数秒以内にそのコードを入手し、本物のログインに対して再利用してしまう。あなたが信頼していた2つ目の要素が、攻撃者をあっさりと侵入させてしまうのだ。人々が過小評価しているのはこの点だ。2FAは依然として人間に何かを渡すことを要求するが、人間はほとんど何でも説得されてしまう。パスキーは何も渡さない。秘密鍵は入力したり、声に出して読んだり、偽のフォームに貼り付けたりすることはできず、作成したドメインでのみ機能するため、偽のページは収集するものも再利用するものもない。
SIMカードの交換とSMSコードの問題
SMSは2FAの弱点です。SIMスワップでは、攻撃者が通信事業者を騙してあなたの番号を自分の電話機に移行させ、あなた宛てのすべての認証コードが攻撃者の画面に表示されてしまいます。FBI のインターネット犯罪苦情センターは、2024年の報告書で982件のSIMスワップ被害を報告しており、被害額は約2600万ドルに上ります。しかもこれは、実際に報告されたケースに過ぎません。また、老朽化したSS7通信プロトコルの欠陥により、SMSメッセージは完全に傍受される可能性があり、電話ネットワーク上を流れるコードはすべて、誰かが密かにリダイレクトできるコードであるという、不都合な事実を突きつけられることになります。
OTPフィッシングとMFA疲労
認証アプリでさえも例外ではありません。攻撃者は、ユーザーと実際のログインの間にリアルタイムのリレーサイトを運用し、TOTPを傍受して30秒以内に再生します。プッシュ型2要素認証には、MFA疲労と呼ばれる独自の失敗モードがあります。これは、攻撃者が承認プロンプトをスパムのように送りつけ、疲れたユーザーがブザー音を止めるためだけに承認ボタンをタップしてしまうというものです。パスキーにはそもそも傍受できるコードがなく、誤って承認してしまうプロンプトもないため、これらの手口はどれも通用しません。
仮想通貨取引所やウォレットではパスキーを使用してください。
パスキーと2FAの比較は、ここで学術的な議論ではなくなり、一般的なガイドのほとんどはここで沈黙します。銀行は不正請求を取り消すことができます。ブロックチェーンは取り消すことができません。攻撃者がSIMスワップで取引所のログインに侵入し、残高を引き出した場合、その取引は確定します。2025年のFBIインターネット犯罪レポートでは、総損失額は209億ドルに達し、そのうち約114億ドルが仮想通貨詐欺に関連しており、アカウント乗っ取りはその中に常に含まれています。
Coinbase、Binance、Krakenなどの主要取引所では、パスキーによるログイン保護機能が導入されました。この機能を有効にすると、SIMスワップ攻撃者が狙うSMS認証コードが削除され、攻撃者が他国からフィッシングで入手できないキーに置き換えられます。
誤解しやすい点なので、重要な区別を一つ覚えておきましょう。パスキーは、取引所の保管口座へのログイン方法を保護するものです。これは、自己保管ウォレットの秘密鍵やシードフレーズとは異なり、それらに取って代わるものでもありません。自分でコインを保有している場合、シードフレーズは依然として資金へのマスターキーです。パスキーは取引所の入り口を守るものであり、自分で保管する金庫を守るものではありません。この点を正しく理解することが、真の口座セキュリティと、セキュリティが確保されているという誤った認識との違いを生むのです。
パスキーは、取引所が既に提供しているセキュリティ機能と組み合わせることで、さらに効果を発揮します。ログイン時にパスキーを有効にし、出金アドレスの許可リストを追加することで、たとえセッションが乗っ取られたとしても、一定期間待たずに未知のウォレットに資金を送金することはできません。パスキーは不正アクセスを阻止し、許可リストは万が一の被害を最小限に抑えます。パスキーと2段階認証を併用することで、どちらか一方だけを使用する場合よりもはるかにセキュリティが強化され、見知らぬ人の携帯電話に無線で送信される可能性のあるコードにアカウントが依存することもなくなります。
従来型の2要素認証が必要な場合
パスキーはまだすべての場所で利用できるわけではなく、パスキーと2FAの選択は多くの場合、特定のサービスがサポートしているかどうかに左右されるため、初日から2要素目を外さないでください。FIDOアライアンスは、2025年までに150億以上のアカウントがパスキーに対応していると推定していますが、小規模サイトでの普及率は依然として低く、多くのサービスではパスワードとコードしか提供されていません。そのようなサービスでは、2FAを維持し、SMSではなく認証アプリというより優れたバージョンを選択してください。復旧もパスキーが役立つ場面です。デバイスに紐づけられたパスキーが保存されているデバイスを紛失した場合、バックアップ要素または保存された復旧コードによって復旧できます。スマートな設定では、パスキーが利用できる場所ではパスキーを、利用できない場所ではアプリベースの2FAを使用し、その両方に復旧プランを静かに備えています。
移行に伴うコストも考慮する必要があります。サイトがパスキーに対応するまでは、利用可能な最も強力なオプションに頼るしかなく、多くのサービスでは依然としてシンプルな認証アプリしか選択肢がありません。これは最終目標ではなく、一時的な措置と捉え、数か月ごとに重要なアカウントを見直しましょう。パスキーのサポートは拡大し続けており、昨春保護できなかったアカウントでも、今では対応している可能性があります。
2段階認証からパスキーへの切り替え方法
移行は一段の跳躍ではなく、梯子を登るようなものだ。そして唯一のルールは、移行中に復旧パスを削除してはならないということだ。以下に、適切な手順を示す。
1. コード認証を使用しているすべてのアカウントで、SMS認証を認証アプリに置き換えてください。これだけでSIMスワップ攻撃のリスクはなくなります。
2. パスキーが設定されている場所(通常はアカウントのセキュリティ設定またはログイン設定)でパスキーを追加してください。
3. 物理的なセキュリティレベルに応じて、パスキーを同期されたパスワードマネージャーまたはハードウェアセキュリティキーに保存します。
4. バックアップの認証方法を1つ用意し、復旧コードをオフラインの場所に保管してください。
5. パスキーで正常にログインできた場合にのみ、SMSを認証要素から除外してください。
まずは、お金や個人情報が保存されているアカウントから始めましょう。メール(パスワードリセットの鍵となるもの)、取引所、パスワードマネージャーなどです。そこから順に作業を進めてください。移行作業全体は半日ほどかかりますが、そのほとんどはページの読み込み待ち時間です。
結論:パスキー、2段階認証、それとも両方?
パスキーと2FAのどちらが優れているかという議論では、実際にアカウントを空にする攻撃に対してはパスキーが優位です。フィッシングやSIMスワップはSMSコードやアプリコードを簡単に突破しますが、パスキーでは突破できません。パスキーが提供されている場所では必ず使用し、あらゆる仮想通貨取引所でデフォルトとして扱い、アプリベースの2FAは、まだ対応していないもののための代替手段として残しておきましょう。本当に重要なのは、どちらを信頼するかではなく、最も重要なアカウントをどれだけ迅速に移動できるかです。どちらを最初に切り替えますか?
