本日のセキュリティアラート（2026-02-27）

個人向けの週次セキュリティ記事です。今週は**フィッシング耐性のある2要素認証（パスキー/セキュリティキー）**をテーマにします。

テーマ用語（最初に短く）

• 2要素認証: パスワードに加えて、別要素（端末・生体認証・物理キーなど）でも確認する仕組み。
• フィッシング耐性: 偽サイトや偽画面にだまされても、認証情報を盗まれにくい性質。
• パスキー/セキュリティキー: サイトの正当性を端末側で確認してから認証するため、使い捨てコードよりフィッシングに強い。

直近ニュース（テーマ直結）

1) Microsoft: Device Code認証フロー悪用のフィッシング警告

• ソース: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-russian-phishing-attacks-via-device-code-auth-flows/
• 解説: 正規の認証画面に見える流れを悪用し、ユーザーにコード入力を誘導する手口が報じられました。見た目が本物でも、誘導元が不正だと乗っ取られます。
• 気をつけるポイント: メール/DMの案内から認証しない。公式アプリや自分のブックマークから開く。
• 相談先: 仕事用アカウントは社内IT・セキュリティ窓口。個人アカウントはサービス公式サポート。

2) Gmail利用者を狙うOAuthなりすまし型フィッシング

• ソース: https://www.bleepingcomputer.com/news/google/new-gmail-phishing-attack-uses-google-oauth-and-looks-legit/
• 解説: Googleの正規画面に見える承認フローを悪用し、信頼感でクリックさせる事例。UIが本物風でも、承認先アプリや遷移元確認が重要です。
• 気をつけるポイント: 「急いで承認して」は危険サイン。承認前にアプリ名・権限内容・送信元を確認。
• 相談先: Googleアカウントのセキュリティ診断（アカウント設定）と公式ヘルプ。

3) ClickFix型の急増（偽CAPTCHA→手動実行誘導）

• ソース: https://www.bleepingcomputer.com/news/security/clickfix-attacks-increased-517-percent-in-second-half-of-2025/
• 解説: 「あなたは人間です」等で安心させ、コマンド実行や追加操作をさせる誘導が急増。認証周辺の“追加手順”を悪用する典型です。
• 気をつけるポイント: CAPTCHA画面でコピー&ペースト実行を求められたら即中断。ブラウザを閉じて公式サイトから再アクセス。
• 相談先: 端末感染が不安なら、OS公式サポートまたは信頼できる修理・サポート窓口へ。

4) Google: パスキーを個人Googleアカウントの標準選択へ

• ソース: https://blog.google/innovation-and-ai/technology/safety-security/passkeys-default-google-accounts/
• 解説: パスキーを標準選択に寄せる方針が示され、個人利用でも“パスワード中心”からの移行が進んでいます。
• 気をつけるポイント: まず主要アカウント（メール/クラウド/決済）からパスキーを有効化。復旧手段（予備端末・バックアップ）も同時設定。
• 相談先: 各サービスの「パスキー設定」ヘルプ、端末メーカーのアカウント復旧案内。

今週の結論（個人向け）

• 2要素認証は必須。ただし、可能なら**フィッシング耐性のある認証（パスキー/セキュリティキー）**を優先。
• 「本物っぽい画面」ではなく、どこから入ったか（導線）を重視。
• 被害疑い時は、URL・画面・時刻を保存してから、公式窓口に相談。

共通の相談先（日本）

• 不正ログイン/課金: 利用サービスの公式サポート
• 金融被害: 銀行・カード会社の不正利用窓口
• 詐欺一般相談: 警察相談専用電話 #9110
• 消費者被害相談: 消費者ホットライン 188