Netwiz LLC

スマホの故障・機種変更で会社のアカウントに入れない。2要素認証の「締め出し」を防ぐ

ネットウィズ合同会社 庄司育雄

「スマホを機種変更したら、会社のGoogleアカウントに入れなくなった。 認証アプリの数字を求められるが、そのアプリは古いスマホにしかない。 古いスマホはもう初期化して下取りに出した」——。

2要素認証は必ず設定すべき、というのが 当社の一貫した推奨です。それは変わりません。ただし2要素認証には、 攻撃者だけでなく正規の持ち主も締め出すという性質があります。 「2つ目の鍵」を失えば、本人でも入れないのは仕組み上の当然だからです。

この「セルフ締め出し(ロックアウト)」は、備えがあれば数分で復旧し、 備えがなければ数日〜数週間の業務停止や、最悪アカウントの喪失につながります。 分かれ目は、締め出される前の準備だけです。

締め出しが起きる典型パターン

  • スマホの故障・紛失: 認証アプリ(Google Authenticator / Microsoft Authenticator 等)が入った唯一の端末が突然使えなくなる
  • 機種変更: 認証アプリのデータは、何もしなければ新しいスマホに引き継がれません。旧端末を初期化・下取りに出した後で気づくのが最悪のパターンです
  • SMS認証の電話番号が死んでいる: 認証コードの送信先が、解約済みの番号や退職者の番号のまま
  • 担当者の退職: 会社のクラウドの「唯一の管理者」が退職し、その人の個人スマホだけが2つ目の鍵だった——退職時の棚卸しの盲点です
  • 共有アカウントの2要素認証が特定の1人のスマホ: 共有アカウント運用に2要素認証を後付けすると、よくこの形になります

共通点は、「2つ目の鍵」が1つの端末・1人の人間に集中していることです。

備え1: バックアップコードを保管する(最重要・5分)

主要なサービス(Google、Microsoft、各種クラウド)は、2要素認証の設定時に バックアップコード(リカバリーコード)を発行できます。 スマホがなくても、このコードを入力すればログインできる「合鍵」です。

  • 各サービスのセキュリティ設定画面から発行し、印刷して契約書などと同じ場所に保管する(会社の重要書類扱いにする)
  • ファイルで保存する場合は、そのアカウント自体に入れないと開けない場所は避ける(金庫の鍵を金庫の中に入れない)
  • 発行した日付とサービス名をメモしておく

会社で使う主要アカウントについて、バックアップコードが「ある」と 言い切れるか。今日確認する価値のある一点です。

備え2: 「2つ目の鍵」を複数登録する

多くのサービスは、認証手段を複数登録できます。1つに頼らないでください。

  • 認証アプリ+予備の電話番号(SMS)+バックアップコード、のように重ねる
  • 認証アプリ自体のバックアップ機能を有効にする(Google Authenticator はGoogleアカウントへの同期、Microsoft Authenticator はクラウドバックアップに対応しています。有効にしていれば機種変更後に復元できます)
  • 会社の基幹アカウント(Microsoft 365 / Google Workspace)は、管理者を2人以上にする。1人が締め出されても、もう1人の管理者がリセットできる体制が最強の保険です

登録済みの電話番号が今も生きているか(解約・退職で死んでいないか)も、 年1回は見直してください。セキュリティ簡易チェックと 同じタイミングが目安です。

備え3: 機種変更は「移行してから初期化」

スマホの機種変更時は、次の順番を守るだけで事故になりません。

  1. 旧スマホが手元にあるうちに、認証アプリの引き継ぎ(エクスポート/アカウント同期)を実行する
  2. 新スマホで、主要なアカウントに実際にログインできることを確認する
  3. 確認が取れてから、旧スマホを初期化・下取りに出す

社用スマホなら、この3行を機種変更の手順書に入れてください。 LINEや銀行アプリの引き継ぎは気にする人が多いのに、 認証アプリは忘れられがちです。

締め出されてしまったら

備えがなかった場合も、打つ手はあります。

  • 他の認証手段を探す: ログイン画面の「別の方法を試す」から、SMS・予備メール・バックアップコードなど、登録済みの代替手段が出てきます
  • 組織アカウントなら管理者に依頼: Microsoft 365 / Google Workspace のアカウントは、管理者が2要素認証のリセットや一時無効化をできます。これが「管理者2人以上」を勧める理由です
  • 個人サービスならアカウント回復手続き: 本人確認を経て回復する窓口が用意されていますが、審査には数日かかることがあり、確実でもありません。普段使いの端末・場所からアクセスすると通りやすい傾向があります
  • 旧端末がまだ手元にあるなら初期化しない: Wi-Fiだけでも認証アプリは動きます。回線契約が切れていても慌てて手放さないでください

なお、「締め出しが怖いから2要素認証を切る」は本末転倒です。 締め出しは備えれば防げますが、乗っ取りは 2要素認証なしでは防ぎようがありません。

会社・団体としてのチェックリスト

  • 基幹アカウント(メール、クラウド、会計、ドメイン管理)のバックアップコードを紙で保管している
  • 各アカウントの認証手段が2つ以上登録されている
  • Microsoft 365 / Google Workspace の管理者が2人以上いる
  • 登録済みの電話番号・予備メールが現役のものになっている(退職者・解約番号が残っていない)
  • 機種変更の手順(移行→確認→初期化)が共有されている
  • 担当者の退職時の手順に「2要素認証の引き継ぎ」が入っている(役員が毎年交代する団体は特に)

まとめ

  • 2要素認証は必須。ただし「2つ目の鍵」が1端末・1人に集中していると、正規の持ち主が締め出される
  • 最優先はバックアップコードの紙保管と、認証手段の複数登録。組織アカウントは管理者2人以上
  • 機種変更は「移行して、ログイン確認してから、初期化」

「どのアカウントにバックアップコードがあるのか分からない」 「管理者が1人しかいない状態をどう直せばいいか」——そんな状態でしたら、 お使いのサービスの一覧を添えて無料相談からどうぞ。 締め出されてから慌てるより、いま30分の点検が安く済みます。