「スマホを機種変更したら、会社のGoogleアカウントに入れなくなった。 認証アプリの数字を求められるが、そのアプリは古いスマホにしかない。 古いスマホはもう初期化して下取りに出した」——。
2要素認証は必ず設定すべき、というのが 当社の一貫した推奨です。それは変わりません。ただし2要素認証には、 攻撃者だけでなく正規の持ち主も締め出すという性質があります。 「2つ目の鍵」を失えば、本人でも入れないのは仕組み上の当然だからです。
この「セルフ締め出し(ロックアウト)」は、備えがあれば数分で復旧し、 備えがなければ数日〜数週間の業務停止や、最悪アカウントの喪失につながります。 分かれ目は、締め出される前の準備だけです。
締め出しが起きる典型パターン
- スマホの故障・紛失: 認証アプリ(Google Authenticator / Microsoft Authenticator 等)が入った唯一の端末が突然使えなくなる
- 機種変更: 認証アプリのデータは、何もしなければ新しいスマホに引き継がれません。旧端末を初期化・下取りに出した後で気づくのが最悪のパターンです
- SMS認証の電話番号が死んでいる: 認証コードの送信先が、解約済みの番号や退職者の番号のまま
- 担当者の退職: 会社のクラウドの「唯一の管理者」が退職し、その人の個人スマホだけが2つ目の鍵だった——退職時の棚卸しの盲点です
- 共有アカウントの2要素認証が特定の1人のスマホ: 共有アカウント運用に2要素認証を後付けすると、よくこの形になります
共通点は、「2つ目の鍵」が1つの端末・1人の人間に集中していることです。
備え1: バックアップコードを保管する(最重要・5分)
主要なサービス(Google、Microsoft、各種クラウド)は、2要素認証の設定時に バックアップコード(リカバリーコード)を発行できます。 スマホがなくても、このコードを入力すればログインできる「合鍵」です。
- 各サービスのセキュリティ設定画面から発行し、印刷して契約書などと同じ場所に保管する(会社の重要書類扱いにする)
- ファイルで保存する場合は、そのアカウント自体に入れないと開けない場所は避ける(金庫の鍵を金庫の中に入れない)
- 発行した日付とサービス名をメモしておく
会社で使う主要アカウントについて、バックアップコードが「ある」と 言い切れるか。今日確認する価値のある一点です。
備え2: 「2つ目の鍵」を複数登録する
多くのサービスは、認証手段を複数登録できます。1つに頼らないでください。
- 認証アプリ+予備の電話番号(SMS)+バックアップコード、のように重ねる
- 認証アプリ自体のバックアップ機能を有効にする(Google Authenticator はGoogleアカウントへの同期、Microsoft Authenticator はクラウドバックアップに対応しています。有効にしていれば機種変更後に復元できます)
- 会社の基幹アカウント(Microsoft 365 / Google Workspace)は、管理者を2人以上にする。1人が締め出されても、もう1人の管理者がリセットできる体制が最強の保険です
登録済みの電話番号が今も生きているか(解約・退職で死んでいないか)も、 年1回は見直してください。セキュリティ簡易チェックと 同じタイミングが目安です。
備え3: 機種変更は「移行してから初期化」
スマホの機種変更時は、次の順番を守るだけで事故になりません。
- 旧スマホが手元にあるうちに、認証アプリの引き継ぎ(エクスポート/アカウント同期)を実行する
- 新スマホで、主要なアカウントに実際にログインできることを確認する
- 確認が取れてから、旧スマホを初期化・下取りに出す
社用スマホなら、この3行を機種変更の手順書に入れてください。 LINEや銀行アプリの引き継ぎは気にする人が多いのに、 認証アプリは忘れられがちです。
締め出されてしまったら
備えがなかった場合も、打つ手はあります。
- 他の認証手段を探す: ログイン画面の「別の方法を試す」から、SMS・予備メール・バックアップコードなど、登録済みの代替手段が出てきます
- 組織アカウントなら管理者に依頼: Microsoft 365 / Google Workspace のアカウントは、管理者が2要素認証のリセットや一時無効化をできます。これが「管理者2人以上」を勧める理由です
- 個人サービスならアカウント回復手続き: 本人確認を経て回復する窓口が用意されていますが、審査には数日かかることがあり、確実でもありません。普段使いの端末・場所からアクセスすると通りやすい傾向があります
- 旧端末がまだ手元にあるなら初期化しない: Wi-Fiだけでも認証アプリは動きます。回線契約が切れていても慌てて手放さないでください
なお、「締め出しが怖いから2要素認証を切る」は本末転倒です。 締め出しは備えれば防げますが、乗っ取りは 2要素認証なしでは防ぎようがありません。
会社・団体としてのチェックリスト
- 基幹アカウント(メール、クラウド、会計、ドメイン管理)のバックアップコードを紙で保管している
- 各アカウントの認証手段が2つ以上登録されている
- Microsoft 365 / Google Workspace の管理者が2人以上いる
- 登録済みの電話番号・予備メールが現役のものになっている(退職者・解約番号が残っていない)
- 機種変更の手順(移行→確認→初期化)が共有されている
- 担当者の退職時の手順に「2要素認証の引き継ぎ」が入っている(役員が毎年交代する団体は特に)
まとめ
- 2要素認証は必須。ただし「2つ目の鍵」が1端末・1人に集中していると、正規の持ち主が締め出される
- 最優先はバックアップコードの紙保管と、認証手段の複数登録。組織アカウントは管理者2人以上
- 機種変更は「移行して、ログイン確認してから、初期化」
「どのアカウントにバックアップコードがあるのか分からない」 「管理者が1人しかいない状態をどう直せばいいか」——そんな状態でしたら、 お使いのサービスの一覧を添えて無料相談からどうぞ。 締め出されてから慌てるより、いま30分の点検が安く済みます。