二段階認証を設定していない士業事務所が今すぐやるべきこと
- 5月1日
- 読了時間: 3分
「なりすましログイン」の被害は、パスワードが複雑でも起きます。なぜなら、パスワード単体では「本人かどうか」の証明として十分ではないからです。
二段階認証(多要素認証・MFA)が、今すぐ設定すべき最優先の対策と言われる理由はここにあります。
パスワードが漏れる経路は想像以上に多い
「自分はパスワードを漏らしたことがない」と言える方でも、知らないうちに漏れているケースがあります。
最も多いのが「クレデンシャルスタッフィング」と呼ばれる攻撃です。世界中で起きているサービスへの不正アクセスや情報漏洩で流出したIDとパスワードのリストを使い、別のサービスへのログインを自動で試すものです。「あのサービスで同じパスワードを使っていた」という事実があれば、自分が直接何もしていなくても攻撃が成功してしまいます。
他にも、フィッシングサイトへの誘導で気づかずパスワードを入力してしまったケース、PCにキーロガーが仕込まれていたケースなど、パスワード漏洩の経路は一つではありません。
多要素認証とは何か
多要素認証(MFA)とは、パスワードに加えて「もう1つの確認手段」を組み合わせる仕組みです。
最もよく使われるのは、スマートフォンのアプリ(Microsoft AuthenticatorやGoogle Authenticatorなど)に表示される6桁の確認コードです。コードは30秒ごとに変わります。
パスワードを知っていても、本人のスマートフォンへのアクセスがなければログインできません。これだけで、パスワード漏洩によるアカウント乗っ取りの大半を防ぐことができます。
設定しないとどうなるか——具体的なリスク
メールアカウントの乗っ取り——Microsoft 365やGmailのアカウントが乗っ取られると、顧問先とのメールのやりとり全体が閲覧可能になります。過去数年分のメールに含まれる個人情報・案件情報が丸ごと見られる状態です。また、乗っ取ったアカウントから顧問先に「振込先が変わりました」という偽メールを送る「ビジネスメール詐欺」に悪用されるケースもあります。
クラウドデータへの不正アクセス——Microsoft 365やGoogleドライブに保存されたファイルがすべて閲覧・ダウンロード可能になります。マイナンバー、決算情報、案件書類——すべてです。
ホームページ管理画面への侵入——WixやWordPressの管理アカウントが乗っ取られれば、ホームページが書き換えられます。
Microsoft 365での設定方法(概要)
Microsoft 365の管理者は、全ユーザーにMFAを強制適用できます。
設定場所は管理センター(admin.microsoft.com)→「セキュリティの既定値群」をオン、またはEntra ID(旧Azure AD)の条件付きアクセスポリシーで適用します。
追加費用は不要で、設定自体は数分で完了します。設定後、各ユーザーが次回ログイン時にスマートフォンへの設定を求められます。事前に「この日から認証方法が変わります」と周知しておくと、混乱が少なくなります。
「スマホを持っていない職員がいる」場合の対応
認証アプリ以外の選択肢もあります。SMS認証(携帯電話の番号に確認コードを送る)、または物理的なセキュリティキー(YubiKeyなど)の活用です。全員一律に同じ方法でなくても、全員がMFAを使える状態にすることが目標です。
「一人だけ設定されていない」状態は、一人のアカウントを起点に事務所全体の情報が漏洩するリスクを残します。
GoogleアカウントやWixも同様に確認を
Microsoft 365以外に、Googleアカウント・Wix・その他クラウドサービスを業務で使っている場合、それらにも同様にMFAを設定してください。「Microsoft 365は設定したがGoogleは忘れていた」という状態は、穴が残ったままです。
多要素認証の設定状況を含む現状確認と無料診断を行っています。
▶ 士業向けIT・セキュリティ整備サービス
行政書士事務所みまもり
セキュリティ研究者・デジタルフォレンジックエンジニア
成田 浩志
