MFA(多要素認証)とは?
多要素認証(MFA: Multi-Factor Authentication)とは、ユーザー認証において、異なる種類の認証要素を2つ以上組み合わせる仕組みです。
認証要素は主に3種類に分類されます。
| 要素 | 内容 | 例 |
|---|---|---|
| 知識要素 | 本人が知っている情報 | パスワード、PINコード |
| 所持要素 | 本人が持っているもの | 認証アプリ、セキュリティキー |
| 生体要素 | 本人の身体的特徴 | 指紋認証、顔認証 |
MFAは、これらのうち2つ以上の要素を組み合わせることで、「パスワードが漏洩しても不正ログインを防ぐ」という多層防御を実現します。
2026年のセキュリティ攻撃トレンド
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026(組織編)」では、以下の脅威がランクインしています。
| 順位 | 脅威 |
|---|---|
| 1位 | ランサム攻撃による被害(4年連続) |
| 2位 | サプライチェーンや委託先を狙った攻撃(4年連続) |
| 3位 | AIの利用をめぐるサイバーリスク(初登場) |
| 4位 | 内部不正による情報漏えい等の被害 |
| 5位 | 標的型攻撃・サイバースパイによる機密情報の窃取 |
このうち本記事では、アカウント侵害(不正ログイン)に関連する脅威にフォーカスしてMFAの有効性を解説します。
MFAを導入することで防御できるセキュリティ攻撃
✅ クレデンシャルスタッフィング攻撃
過去のデータ漏洩で流出したID・パスワードの組み合わせを使い、他のサービスへのログインを機械的に試みる攻撃です。
MFAが有効な理由: パスワードが正しくても、第2要素(認証アプリのコード、セキュリティキーなど)がなければログインを完成させられません。
✅ 外部IDプロバイダー(ソーシャルログイン・SSO)経由の不正アクセス
FacebookやGoogleなどの外部アカウントを使ってSalesforceにログインしている場合、外部アカウントが乗っ取られると連鎖的に不正アクセスされるリスクがあります。
MFAが有効な理由: Salesforce側でMFAを有効にしていれば、外部認証を通過した後でも追加の認証要素を要求するため、不正アクセスを阻止できます。
参考: Salesforce Trailhead - Enhance Security with MFA Verification
✅ 公共Wi-Fi利用時の通信傍受(中間者攻撃・MITM攻撃)
公共Wi-Fiでは通信傍受により、ユーザー名とパスワードが盗まれるリスクがあります。
MFAが有効な理由: パスワードが漏洩しても、攻撃者はワンタイムパスワード(OTP)やデバイス認証情報を持っていないため、ログインを完遂できません。
✅ パスワードスプレー攻撃
大量のアカウントに対して「よく使われるパスワード」を少数ずつ試すことでアカウントロックを回避しながら不正侵入を試みる攻撃です。
MFAが有効な理由: パスワードが一致しても、第2要素がなければログインできません。
MFAを導入しても防げないセキュリティ攻撃
MFAは強力な対策ですが、以下の攻撃には効果が限定的または無効です。
❌ リアルタイムフィッシング(AiTM攻撃)
攻撃者が偽のログインサイトをリアルタイムで中継するフィッシング(Adversary-in-the-Middle攻撃)では、ユーザーが入力したMFAコードも即座に転送・悪用されます。
なぜ防げないか: MFAコードにも有効期限(通常30秒)があり、リアルタイム中継ではその時間内に使用されてしまうためです。
対策: フィッシング耐性のある認証方式(FIDOセキュリティキー、パスキーなど)の採用が有効です。
❌ セッションハイジャック
ログイン済みのセッショントークン(Cookieなど)が盗まれた場合、認証は既に完了しているためMFAが機能しません。
なぜ防げないか: MFAはログイン時の認証を強化する仕組みであり、認証後のセッション管理は対象外です。
❌ 推測されやすいセキュリティの質問
セキュリティの質問は「パスワードを忘れた際のリセットプロセス」に使用されるものです。
なぜ防げないか: MFAはログイン時の認証強化を目的としており、パスワードリセットプロセス自体の脆弱性を直接補完するものではありません。
❌ ログアウト忘れによる不正利用
コンピューターから離れた際にSalesforceからログアウトしていない場合、その端末にアクセスできる人物が不正利用できます。
なぜ防げないか: MFAは認証時に機能します。既にログイン済みのセッションには関与しません。セッションタイムアウト設定や物理的なセキュリティ対策で対応すべき問題です。
❌ SIMスワッピング(SMS認証を使用している場合)
携帯電話会社を騙して電話番号を攻撃者のSIMに移す攻撃です。SMS認証(SMSで届くコード)を使用している場合、この手法で認証コードを傍受される可能性があります。
対策: SMS認証よりも認証アプリやセキュリティキーの使用が推奨されます。
Salesforceにおけるログイン防御構成の推奨
ここでは、Salesforceが公式に発表している情報のみを記載します。
MFA義務化について
Salesforceは、2022年2月1日より、Salesforce製品のUIからログインするすべてのユーザーに対して、MFAの使用を契約上の義務として定めています。
Salesforceが公式にサポートするMFA認証方法
Salesforce公式ドキュメントでは、以下の認証方法がサポートされています。
| 認証方法 | 概要 |
|---|---|
| Salesforce Authenticator | Salesforceが提供する公式認証アプリ。プッシュ通知でログインを承認 |
| TOTPアプリ(サードパーティ) | Google Authenticator、Microsoft Authenticatorなどの時刻ベースワンタイムパスワード生成アプリ |
| セキュリティキー | FIDO2/WebAuthn対応の物理セキュリティキー(USB・NFCタイプなど) |
| 組み込みAuthenticator | Windows Hello、Touch ID、Face IDなど、デバイスに内蔵された生体認証 |
参考: MFA用の組み込みAuthenticator(Salesforce公式) / セキュリティキー(Salesforce公式)
SSOを利用している場合のMFA要件
Salesforceの公式要件では、SSOを使ってSalesforceにログインしている場合は、SSOプロバイダー(IDプロバイダー)側でMFAを実施することが求められています。SSOプロバイダー側でMFAが有効になっていれば、Salesforce側の要件を満たすことになります。
参考: Everything Admins Need to Know About the MFA Requirement(Salesforce公式ブログ)
まとめ
| シナリオ | MFAで防御可能? |
|---|---|
| パスワード漏洩による不正ログイン(クレデンシャルスタッフィング) | ✅ 防御可能 |
| 公共Wi-Fi利用時の資格情報盗用 | ✅ 防御可能 |
| ソーシャルログイン経由の連鎖侵害 | ✅ 防御可能 |
| パスワードスプレー攻撃 | ✅ 防御可能 |
| リアルタイムフィッシング(AiTM攻撃) | ❌ 防御困難 |
| セッションハイジャック | ❌ 防御不可 |
| SIMスワッピング(SMS認証使用時) | ❌ 防御不可 |
| ログアウト忘れによる不正利用 | ❌ 防御不可 |
| 推測されやすいセキュリティの質問 | ❌ 対象外 |
MFAはパスワード単体認証の弱点を補う強力な対策ですが、万能ではありません。MFAを正しく理解し、適切な認証方法の選択・運用と組み合わせることが重要です。