Microsoftは2026年5月、Microsoftアカウント(個人向け)のSMSコード認証を段階的に廃止すると公式に発表した。SIMスワップ詐欺やフィッシングへの脆弱性を理由に、パスキー(Passkey)・Microsoft Authenticatorアプリ・副メールアドレスへの移行を強制する方針だ。

SMSが「もう安全ではない」理由

SMS認証は長年、二要素認証(2FA)の代名詞として広く使われてきた。しかし、その実態は構造的に脆弱だ。

  • 通信経路の脆弱性: SMSは平文で携帯電話ネットワーク上を流れる。技術的に傍受が可能な経路が存在する
  • SIMスワップ攻撃: 攻撃者が携帯キャリアを騙してあなたの電話番号を自分のSIMに移管させる手口。成功すれば、SMSの2FAコードはすべて攻撃者に届く
  • フィッシング耐性ゼロ: 偽サイトに誘導してコードを入力させるだけで突破できる

Microsoftのサポートドキュメントでは「SMS認証は現在、詐欺の主要な経路となっている」と明言している。これに基づき、個人向けMicrosoftアカウントのSMS認証およびSMS経由のアカウント回復を段階的に終了する。

パスキーとは何か

パスキー(Passkey)は、FIDO2/WebAuthn標準に基づくフィッシング耐性の高い認証方式だ。パスワードやSMSコードの代わりに、デバイスに内蔵された生体認証ハードウェアで本人確認を行う。Windows環境では以下が使える。

  • Windows Hello: 顔認証(IRカメラ)または指紋スキャナー
  • デバイスPIN: TPMチップと紐づいたローカルPIN

パスキーの核心は秘密鍵がデバイスから出ない点にある。認証のたびに公開鍵暗号方式でチャレンジに署名するが、その秘密鍵はTPM(Trusted Platform Module)に閉じ込められている。リモートからの攻撃でこれを盗み出すことは原理的に不可能だ。

デバイスを紛失した場合は、iCloud キーチェーン(Apple)やGoogle パスワードマネージャーと同期したパスキー、または登録済みの副メールアドレスでアカウント回復が可能だ。

実務への影響

エンジニア・開発者への影響

移行において最も注意が必要なのは、自動化スクリプトやCIパイプラインでMicrosoftアカウントを使っている場合だ。SMS認証に依存したサービスアカウント的な使い方をしていると、移行後に認証が通らなくなる可能性がある。

対策として以下を今すぐ確認してほしい。

  • サービスアカウントはEntra ID(旧Azure AD)に移行する: 個人向けMicrosoftアカウントではなく、Entra IDのサービスプリンシパルやマネージドIDを使うべきだ。自動化ワークフローに個人アカウントを使っている場合は移行のタイミングだ
  • Microsoft Authenticatorを今すぐ設定する: プッシュ通知による承認で手間が少ない。SMS廃止前に切り替えておくことで、移行時の混乱を避けられる
  • 副メールアドレスの登録を確認する: SMS廃止後の重要な回復手段となる。アカウント設定から登録状況を必ず確認しておくこと

IT管理者への影響

企業内でMicrosoftアカウントを使った個人端末(BYOD)管理をしている場合、ユーザーへの事前周知と移行支援が必要になる。「SMSで受け取っていたコードが届かなくなった」というヘルプデスク問い合わせが急増する可能性がある。移行期限の前に社内アナウンスと移行手順書の整備を進めておきたい。

筆者の見解

SMS認証の廃止は、セキュリティの観点から見ればむしろ遅すぎたくらいだ。SIMスワップ攻撃はすでに現実的な脅威として各国で被害が出ており、「電話番号は本人確認の手段にならない」という認識はセキュリティ業界では常識になっている。

パスキーへの移行は、ゼロトラストアーキテクチャの「デバイスと認証を紐づける」という方向性と完全に一致している。秘密鍵がデバイスのTPMから出ない設計は、フィッシングによる認証情報の盗用を根本から断ち切る。技術的には正しい判断だ。

ただし、心配なのは移行の届け方だ。今回のSMS廃止の告知が「サポートドキュメントにひっそり掲載」という形だったのは気になる。技術的に優れた判断を下すのと同じくらい、ユーザーへの丁寧な移行支援が重要だ。セキュリティを向上させる意図は正しい——あとはその「伝え方」と「サポート」で、Microsoftの本気度が問われる。パスキーが本当に「誰にでも使えるもの」になるよう、移行体験の磨き込みに力を注いでほしい。

出典: この記事は Microsoft is killing SMS codes for Microsoft account sign-in, aggressively pushes passkeys on Windows 11 の内容をもとに、筆者の見解を加えて独自に執筆したものです。