リカバリーコードとは

この記事は約 2 分で読めます

リカバリーコード (Recovery Code / Backup Code) とは、多要素認証 (MFA) のデバイスを紛失・故障した際に、アカウントへのアクセスを回復するためのバックアップ認証手段です。通常、アカウントの MFA 設定時に一度だけ表示される使い捨てのコード群で、各コードは 1 回限り使用できます。スマートフォンの故障やセキュリティキーの紛失は誰にでも起こりうるため、リカバリーコードの事前保管は MFA 運用における必須の安全策です。

一般的な形式と仕組み

リカバリーコードの形式はサービスによって異なりますが、最も一般的なのは 8 桁の英数字コードが 10 個セットで発行されるパターンです。 Google、GitHub、Dropbox などの主要サービスがこの形式を採用しています。

リカバリーコードの例 (架空):
a7f2-k9m3b3d8-p5n1c6h4-r2w7d1j9-s8x5e4l6-t3y2f8m2-u7z4g5n1-v9a6h2p7-w4b8j9r3-x1c5k6s8-y2d7
各コードは 1 回使用すると無効化される。全コードを使い切った場合は再生成が必要。

サービス側ではリカバリーコードをハッシュ化して保存しており、ユーザーがコードを入力するとハッシュ値を照合して認証します。使用済みのコードは即座に無効化され、再利用はできません。

安全な保管方法

リカバリーコードは「MFA の最後の砦」であるため、保管方法の選択は極めて重要です。保管場所を間違えると、リカバリーコード自体が攻撃の入口になります。

推奨: パスワードマネージャー

パスワードマネージャーのセキュアノート機能に保存する。暗号化された状態で保管され、デバイス間で同期もできる。最も実用的な選択肢。

推奨: 紙に印刷

印刷して金庫や鍵付きの引き出しに保管する。デジタル攻撃の影響を受けない。ただし火災・紛失リスクがあるため、複数箇所に分散保管が望ましい。

危険: スクリーンショット / メモアプリ

スマートフォンのカメラロールやメモアプリに保存するのは危険。クラウド同期で意図せず外部に露出したり、マルウェアに窃取される可能性がある。

リカバリーコード自体が攻撃対象になるリスク

リカバリーコードはパスワード + リカバリーコードだけでアカウントにアクセスできるため、 MFA をバイパスする「裏口」として攻撃者に狙われます。アカウント乗っ取りの手法として、ソーシャルエンジニアリングでリカバリーコードを聞き出すケースや、マルウェアでパスワードマネージャーのデータベースごと窃取するケースが報告されています。

対策として、リカバリーコードの保管場所自体にも強力な保護を施すことが重要です。パスワードマネージャーに保存する場合は、マスターパスワードを十分に強力にし、パスワードマネージャー自体にも MFA を設定します。紙に印刷する場合は、物理的なアクセス制御 (金庫、施錠) を徹底します。

リカバリーフロー

MFA デバイス紛失

パスワードでログイン試行

リカバリーコードを入力

新しい MFA デバイスを登録

パスキー時代のリカバリー設計

パスキーの普及により、リカバリーの考え方も変化しています。パスキーは iCloud キーチェーンや Google パスワードマネージャーを通じてクラウド同期されるため、デバイス 1 台の紛失でアカウントにアクセスできなくなるリスクは低減しました。しかし、Apple ID や Google アカウント自体のリカバリーが必要になった場合、従来型のリカバリーコードが依然として最後の手段になります。

企業環境では、パスキーに加えてバックアップ用のセキュリティキーを登録し、さらにリカバリーコードを IT 管理者が安全に保管するという多層的な設計が推奨されます。セキュリティキー導入ガイドやアカウントが乗っ取られたらどうなるかもリカバリー設計の参考になります。アカウントセキュリティの関連書籍 (Amazon)も実務に役立ちます。

現場での使用例

「海外出張中にスマートフォンが故障し、TOTP アプリにアクセスできなくなりました。事前にパスワードマネージャーに保存していたリカバリーコードで全アカウントに復帰でき、業務への影響はゼロでした。保管していなかったら数日間ロックアウトされていたと思います。」

二段階認証の基本でリカバリーコードの設定手順も解説しています。