何が起きたのか？──掲示板に広まった「最悪の助言」

2026年3月31日、海外の大手掲示板サイトにあるメールサービス関連の専用スレッドにおいて、あるユーザーが自身のメールアカウントがハッキングされたと報告し、今後の対処法を求めた。投稿者はすでにパスワードの変更や復旧用コードの再生成といった基本的な対策は実施済みだった。

ところが、このスレッドに寄せられた回答の中に、極めて危険な助言が含まれていた。それは「2要素認証はオフのままにしておけ。そうしないと複数の復旧手段が使えなくなる」というものだ。

この発言に対し、スレッドに集まったセキュリティ専門家たちは即座に反論。報道では、専門家の間でこれが「最近目にした中でも最悪級のアドバイス」として強い批判を浴びたとされている。

2要素認証（2FA）は有効なままにしておくべき理由

2要素認証（2FA）とは、ログイン時にパスワードに加えてもう1段階の本人確認を行うセキュリティ機能だ。たとえパスワードが漏えいしても、第2の認証がなければアカウントにはアクセスできない仕組みになっている。

問題の掲示板では「すべてのサービスで2FAをオフにした方が柔軟性がある」「どうせ迂回される」といった主張もなされていたが、これらは根本的に的を外している。

2FAを無効にすると何が起きるのか？

2要素認証を無効にすると、アカウントへのログインはパスワードだけで完了してしまう。これは攻撃者にとって極めて有利な状況だ。

確かにハッカーには2FAを迂回する手段が存在する。セッション情報の窃取やフィッシングによる認証情報の詐取がその代表例だ。しかし、だからといって2FAを無効にすることは、鍵のかかるドアに対して「ピッキングされる可能性があるから鍵をかけないでおこう」と言っているようなものだ。

定期的なパスワード変更もすべきでない──その理由

問題のスレッドでは、さらにもう1つの誤った助言も発信されていた。「パスワードは2カ月ごとに変更すべき」というものだ。一見すると安全に思えるこのアドバイスも、現代のセキュリティ基準では逆効果とされている。

なぜ定期変更が逆効果なのか？その理由は人間の行動パターンにある。頻繁にパスワードを変更させると、ユーザーは覚えやすいよう「元のパスワードの末尾に数字を足すだけ」「月名を入れ替えるだけ」といった予測可能な変更しかしなくなる。攻撃者はこのパターンを熟知しており、こうした微小な変更は容易に推測されてしまう。

安全で十分に長いパスワードを1つ設定し、漏えいの兆候がない限り変更しないことが、現代の推奨アプローチだ。

パスキーを導入しよう──次世代の認証方式

報道によると、メールサービスの広報担当者は、アカウント保護のための推奨事項として以下を挙げている。

特に注目すべきはパスキーの導入推奨だ。パスキーは、パスワードに代わる認証方式で、端末に保存された暗号鍵を使って本人確認を行う。パスワードのように「覚える」「入力する」必要がなく、フィッシングで騙し取られるリスクもない。

まとめ──今すぐ確認すべきこと

ネット上には善意から発信された情報であっても、セキュリティ的に致命的な誤りを含むアドバイスが少なくない。「面倒だからオフにする」「どうせ突破される」という考えは、自分のアカウントを無防備にさらす行為に他ならない。2要素認証は有効にし、可能であればパスキーに移行する。これが2026年現在の正しいセキュリティ対策だ。