「取引先がアカウントを乗っ取られたらしくて、その会社の名前でうちに不審なメールが届いたんです。請求先の口座を変えてほしい、という内容で。危うく騙されるところでした。うちも同じことが起きないか、急に怖くなって」——先日、社員三十名ほどの会社の経営者から、こんな相談を受けました。乗っ取りは対岸の火事ではなく、取引先を経由して自社の信用や金銭被害に直結する。そう実感した、というのです。
アカウントの乗っ取りは、大企業だけの話ではありません。むしろ、対策が手薄になりがちな中小企業ほど狙われます。パスワードの使い回し、巧妙化するフィッシング、そして「うちは狙われない」という油断。これらが重なると、社長や経理担当のアカウントが乗っ取られ、取引先への詐欺メールや社内データの流出につながります。本記事では、いま中小企業が押さえるべき認証強化を、フィッシングに強いパスキーへの移行を軸に、社員を締め出さずに進める方法として、受託で伴走する立場から整理します。
なぜ中小企業のアカウントが狙われるのか
まず、なぜ中小企業が狙われやすいのかを押さえます。理由は単純で、守りが手薄だからです。
多くの中小企業では、業務アカウントのパスワードが他のサービスと使い回されています。どこか一つのサービスから漏れたパスワードのリストは闇市場に出回り、攻撃者はそれを使って手当たり次第にログインを試します。使い回していれば、一か所の漏洩が全アカウントの突破口になります。
そしてもう一つが、フィッシングの巧妙化です。「パスワードの有効期限が切れます」「不審なログインがありました」といった、本物そっくりの偽メールでログイン画面に誘導し、入力された認証情報を盗む。近年はAIによって偽メールの文面が自然になり、見破るのがいっそう難しくなっています。届いた偽メールから身を守る話はAIフィッシング防御の記事で扱っていますが、どれだけ気をつけても、人間が偽サイトを完璧に見抜くのには限界があります。だからこそ、「パスワードが盗まれても乗っ取られない」認証の仕組みが要るのです。
SMSやコードの2段階認証は、もう万能ではない
「うちは2段階認証を入れているから大丈夫」と思っている方に、ここは正確に知っておいてほしいところです。2段階認証にも種類があり、フィッシングへの強さが大きく違います。
| 認証手段 | フィッシング耐性 | 弱点 |
|---|---|---|
| SMS・メールのコード | 低い | 偽サイトに入力させて即時に悪用される |
| 認証アプリのコード | 中程度 | 同じく偽サイト経由で盗まれうる |
| パスキー・セキュリティキー | 高い | 偽サイトでは原理的に成立しない |
SMSやメールで届くコードを入力するタイプ、認証アプリに表示される数字を入力するタイプは、確かにパスワードだけよりは安全です。しかし、巧妙なフィッシングには破られます。攻撃者が用意した偽サイトに、被害者がパスワードとコードの両方を入力してしまえば、攻撃者はそれをリアルタイムで本物のサイトに転送してログインできてしまうからです。コードを「入力する」方式である限り、この抜け道は塞げません。
これに対して、パスキーやセキュリティキーはフィッシングに対して原理的に強い仕組みです。パスキーは、指紋や顔認証、画面ロックなどで本人確認をしつつ、ログインしようとしているサイトが本物かどうかを端末側が暗号的に検証します。偽サイトに対しては、そもそも認証が成立しません。「入力するコード」が存在しないので、盗ませようがないのです。Googleもパスキーを最もフィッシング耐性が高い方式と位置づけています。パスワードレス認証への移行そのものはパスキー移行の記事で技術面を掘り下げていますが、要点は、これからの認証強化はコード方式からパスキーへ、という方向に向かっているということです。
Googleはすでに「義務化」の方向へ動いている
この流れは、サービス提供側からも後押しされています。Googleは、Google Workspaceの管理者アカウントに対して、2段階認証の有効化を段階的に必須化してきました。管理者アカウントは乗っ取られたときの被害が最も大きいため、まずそこから強制が始まっています。
これは、中小企業にとって重要なシグナルです。「2段階認証は推奨」の時代から、「無いと使わせない」の時代へ移りつつある。であれば、自社も後追いで義務化を迫られる前に、自発的に全社員での認証強化へ動いておくほうが、混乱が少なくて済みます。とりわけ、強い権限を持つ管理者アカウントや、金銭を扱う経理のアカウント、そして対外的な信用に直結する経営者のアカウントは、優先してパスキーやセキュリティキーといったフィッシングに強い方式へ移しておきたいところです。認証を強くするだけでなく、「想定した端末・条件からだけログインを許す」という入口の絞り込みと組み合わせると、守りはさらに立体的になります。この考え方はコンテキストアウェアアクセスの記事で扱っています。
いきなり全員パスキー強制は、締め出しを招く
ここが受託の現場で最もつまずく落とし穴なので、先に書いておきます。「フィッシングに強いなら、明日から全社員パスキー必須にしよう」——これをいきなりやると、高い確率で社員を締め出します。
パスキーは端末に紐づく仕組みです。社員がスマホやパソコンを機種変更したり、紛失したり、故障させたりしたとき、新しい端末でログインできるようにする復旧の経路を用意しておかないと、本人ですら自分のアカウントに入れなくなります。バックアップの認証手段も決めずに全社員へ一斉強制すると、機種変更した社員が次々ログインできなくなり、その対応に管理者が追われる、という事態になりかねません。
正しい順番は、まず管理者や役員など被害の大きいアカウントから始め、復旧手段(予備のセキュリティキーやバックアップコードなど)をセットで用意することです。少人数で運用を確かめ、紛失や機種変更のときにどう復旧するかの手順を固めてから、対象を全社員へ広げていく。守りを固める作業は、いきなり全員に強い鍵を配るのではなく、復旧の道を用意してから一人ずつ移すのが鉄則です。
事例: 経理アカウントの乗っ取り未遂をきっかけに移行した会社
具体例を挙げます。社員四十名ほどの会社(社名は伏せます)から、「経理担当のところに、本物そっくりのログイン警告メールが届いて、危うくパスワードとコードを入力しかけた。今回は寸前で気づいたが、次は分からない」という相談を受けました。同社はSMSコードによる2段階認証を入れていましたが、それでは今回のような偽サイト経由の攻撃を防ぎきれない、という不安が相談の出発点でした。
そこで、いきなり全社展開はせず、被害の大きい順に進めました。まず経営者・経理・管理者の数アカウントについて、ログインをパスキーとセキュリティキーに切り替えます。同時に、それぞれに予備のセキュリティキーを持たせ、紛失や故障時の復旧手順を文書化しました。少人数で一か月ほど運用し、機種変更のケースも一度試して復旧がスムーズにできることを確認してから、対象を全社員へ広げていきました。社員には、パスキーは指紋や顔認証でむしろログインが速く楽になること、偽サイトには引っかからなくなることを説明し、納得を得てから移しました。
結果、コードを入力する方式が無くなったことで、同種のフィッシングは原理的に成立しなくなりました。機種変更時の締め出しも、復旧手順を先に用意していたおかげで一件も起きていません。いちばん効いたのは、強い認証をいきなり全員に課したことではありません。被害の大きいアカウントから始め、復旧経路をセットで用意してから広げたことです。順番を守ったおかげで、一人も締め出さずに守りを底上げできました。
まず「乗っ取られたら最も困るアカウント」を三つ挙げる
認証強化に着手するなら、ツールを選ぶ前に一つだけ整理してください。社内で、乗っ取られたら最も困るアカウントを三つ挙げることです。たいていは経営者、経理、そして管理者権限を持つアカウントでしょう。この三つを、まずフィッシングに強いパスキーやセキュリティキーへ移し、復旧手段をセットで用意する。これだけで、最悪の被害につながる経路を先に塞げます。
アカウント乗っ取りは、対策の手薄な中小企業ほど現実的なリスクであり、取引先を巻き込む金銭被害や信用の失墜に直結します。コードを入力する2段階認証はもはや万能ではなく、これからの守りはパスキーへ向かっています。とはいえ、いきなり全員に強制すれば社員を締め出します。被害の大きいアカウントから、復旧の道を用意して、一人ずつ。順番さえ間違えなければ、認証強化は中小企業にとって費用対効果の高い守りです。
取引先の乗っ取り被害を見て自社が不安になった、いまの2段階認証で本当に守れているのか確かめたい、パスキーへ移したいが社員の締め出しが心配——そうしたお悩みがあれば、グリームハブのIT・Google Workspace無料相談からお気軽にご相談ください。重要アカウントの洗い出しから、パスキー・セキュリティキーへの段階的な移行、紛失時の復旧手順の整備まで、誰も締め出さずに守りを固める進め方をご一緒します。
