多くの方が日々利用するOutlook.com(Hotmail)やMicrosoftアカウントですが、最近PCからのログイン時に「Verify its you by selecting the correct number」と表示されるようになり、スマホアプリでの数字選択を求められるケースが増えています。これまでパスワードやハードウェアキー、Authenticatorアプリのワンタイムコードを使っていた方は戸惑いがちですが、実はMicrosoftが推進する新たな多要素認証の仕組みによるものです。ここでは、その背景や安全性、導入時期、設定方法などをわかりやすく解説しつつ、誤操作リスクを含めた注意点や切り替えのコツまでご紹介します。
Outlookのパスワードレス認証とは?
Outlook.com(Hotmail)をはじめ、Microsoftアカウントへのログインにおいて、スマホのOutlookアプリで数字を選択する認証方式が注目を集めています。これは従来のパスワード入力とは異なり、画面に表示された番号を本人のスマホアプリ上で選択することで本人確認を行う手法です。最近は「Verify its you by selecting the correct number」という文言が表示され、3つほどの候補番号から正しいものを選択します。この方式はパスワードレスや多要素認証(MFA)を強化する取り組みの一環として、2024年頃から標準設定として組み込まれるケースが増えています。
数字を使ったログインの概要
PCの画面でMicrosoftアカウントにサインインしようとすると、かつてはパスワードやTOTP(Authenticatorアプリの6桁コード)を入力する場面が多かったでしょう。しかし最近では、下記のような流れになります。
- Outlook.comなどにアクセスし、メールアドレスを入力
- 従来であればパスワード画面に移るはずが、代わりに「Check your Outlook app」と表示される
- スマホのOutlookアプリに通知が届き、3つ程度の数字が提示される
- PC画面に表示されている正しい数字を、スマホアプリの選択肢から選ぶ
このシンプルな操作で本人認証が完了し、あとはPC上でOutlook.comが利用可能になります。アプリによっては「ワンタップ承認」や「数字選択」と呼ばれることもありますが、要するにパスワードなしでログインできる多要素認証の一種です。
従来のAuthenticatorアプリとの違い
従来のMicrosoft AuthenticatorアプリやGoogle AuthenticatorなどのTOTPでは、6桁の時限式コードを手入力する必要がありました。一方、この数字選択方式は以下のような特徴があります。
- 入力が不要:表示された数字をスマホアプリ上でタップするだけ
- ミスマッチ防止:桁数の入力ミスではなく、3つの選択肢の中から正解を選ぶ方式
- 即時性:表示された番号がワンタップで承認されるためスムーズ
セキュリティ面のメリット
この認証方式のメリットは「他人が勝手にログインを試みても、スマホのアプリで正しい数字を選択できないと突破できない」という点です。仮にアカウントのメールアドレスが漏れていたとしても、スマホデバイスを物理的に持っていない限りログインは難しくなります。
導入の背景
Microsoftアカウントは一般ユーザーから企業ユーザーまで幅広く利用されています。そのため、パスワードの使いまわしやメールアドレス流出が大規模なセキュリティリスクにつながる可能性があります。こうしたリスクを減らすため、Microsoftは「パスワードレスの世界」を推進しており、スマホをキーとした認証を積極的に導入してきました。2024年頃から、スマホのOutlookアプリにもこの機能が自動的に適用され始め、PCからのログイン時にパスワード入力がスキップされるケースが増加しています。
「Verify its you」の導入時期について
スマホのOutlookアプリで数字を選んでログインする方式がいつから導入されているかは、厳密な日付を示す公式アナウンスがあまり多くはありません。ただし、Microsoftの公式ドキュメントやユーザー報告などを見ると、2023年後半から2024年にかけて順次ロールアウトされ始めたと考えられます。もともとパスワードレス認証や多要素認証を促進する動き自体は数年前からありましたが、スマホ版Outlookでの数字選択方式が本格化したのは比較的最近です。アプリのバージョンアップや地域、アカウントの種類によって実装タイミングが前後するため、人によっては「いつの間にか切り替わっていた」と感じる状況が起きています。
安全性への考慮とリスクは?
「数字を選ぶだけでログインしてしまって大丈夫なの?」と不安に思う方も多いでしょう。しかし、実際には以下のようなポイントからパスワードログインより安全性が高いとされています。
- スマホを物理的に所持していることが前提
IDとパスワードのみでは、IDの使いまわしやパスワード漏洩が懸念されます。しかし、数字選択方式では「誰がスマホを持っているか」が重要です。他人が不正アクセスしようとしてもスマホが手元になければ難しく、仮にスマホを盗まれたとしても指紋認証や画面ロックがある限り、アプリへのアクセスは容易ではありません。 - 都度異なる番号を使用
PC画面に表示される番号は都度ランダムで生成され、アウトルックアプリには複数の選択肢が並びます。偶然当てることは難しい上に、短時間で入力しなければ無効になります。 - 攻撃手法が限定される
フィッシングや総当たり攻撃によるパスワード漏洩が多発していますが、この数字選択方式の場合、パスワードを入力しないため、キーロガーやパスワードリスト攻撃の被害リスクを抑えられます。
一方、「パスワードも併用できる状態」を残していると、あくまでパスワードが有効である以上は従来の攻撃経路もゼロにはなりません。そのため本当に安全性を高めたいなら、パスワードレス設定を優先し、必要がなければパスワード自体を無効化してしまうのも一つの選択肢となります。
設定の切り替え・管理方法
もしパスワードレス認証をメインに使いたい、あるいは別の多要素認証方法を使いたいという場合、Microsoftアカウントのセキュリティ設定ページで各種認証方法の優先度やオン・オフを切り替えることができます。以下は一般的な手順の一例です。
- ブラウザからMicrosoftアカウントの「セキュリティ」ページにアクセス
- 「高度なセキュリティオプション」(Advanced security options)を選択
- そこで「サインイン方法」の一覧が表示され、パスワードレス、ハードウェアキー、Authenticatorアプリなどの有効・無効を管理
- 不要な認証方法は削除し、メインで使いたい認証方法を優先するよう設定
設定画面の見た目やメニュー名は時期やアカウントタイプで若干変わる場合がありますが、大枠の流れは上記のとおりです。また、Outlookアプリの「設定」→「アカウント」→「認証オプション」あたりから、数字選択方式が有効かどうかをチェックできる場合もあります。
ハードウェアキー(FIDO2)を利用している方は、同ページで登録済みのキーが表示されるはずです。数字選択方式を無効にしたい場合は「サインイン方法の管理」から削除・無効化を行い、代わりに他の認証要素を設定しましょう。
数字を間違えて選択した時の挙動
スマホのアプリ側で間違った数字を選択してしまうと、当然ながらPC側のログインは失敗します。ただし多くの場合、一度のミスでいきなりアカウントがロックされるわけではありません。下記のような仕組みになっていると考えられます。
- 1回程度の失敗:再度新しい数字が生成され、再試行が可能
- 複数回の連続失敗:セキュリティ措置として一時的にログインが制限される、あるいはアカウントがロックされる可能性あり
万が一間違えた場合は焦らずに再度正しい手順で認証をやり直すか、他の認証方法(パスワードやハードウェアキー)に切り替えればログインできるケースが多いです。仮にロックされたとしても、アカウント管理画面から解除の手順が案内されるので、画面の指示に従って処理してください。
パスワードログインとの住み分け
「数字選択によるパスワードレス認証」と「パスワードログイン」は、併用も可能です。ただし、併用している状態では最も弱いリンク(パスワードがもし漏れていたら)から攻撃を受けるリスクが残る点に留意が必要です。
一方で、古いアプリや一部のデバイスではどうしてもパスワード入力が必要な場面もあるため、完全にパスワードを削除すると不便になるケースも考えられます。仕事や生活環境に合わせて柔軟に選択し、「普段は数字選択方式」「どうしても必要な時だけパスワードも使う」という形で使い分けるのが現実的です。
さまざまな認証方式の比較
以下のように代表的な認証方法を比較すると、それぞれの特徴が明確になります。
| 認証方式 | 特徴 | メリット | デメリット |
|---|---|---|---|
| パスワード | 文字列を入力して本人確認 | 長く使われており対応範囲が広い | リスト攻撃・フィッシングリスクが高い |
| 数字選択式(Outlookアプリ) | PC画面の数字をスマホアプリで選択 | 入力不要で簡単かつ安全性が高い | アプリの導入・設定が必須 |
| Authenticatorアプリ(TOTP) | 6桁コードを時限式で生成 | 安定したMFA手段で汎用的 | 毎回コードを手入力する手間がある |
| ハードウェアキー(FIDO2など) | 専用のセキュリティキーをUSBやNFCで認証 | 物理デバイスを持っている限り極めて強固 | キーの紛失・破損時に代替手段が必要 |
上記のとおり、数字選択方式は「パスワードを使わずにスマホ所持が証明できる」という点でメリットが大きいといえます。ただし、ハードウェアキーやTOTPに比べると、スマホ端末が故障したり失くした場合には別の認証手段に切り替えなくてはいけない点は共通の課題です。また、一部の端末では通知が届きにくいケースも報告されています。
設定変更時のトラブル対処と対策
設定を変更した際、よくあるトラブルや対策としては以下が挙げられます。
- 通知が届かない
スマホの通知がオフになっていないか、Outlookアプリの通知許可設定を見直しましょう。バッテリーセーバー機能をONにしていると通知が遅延したり、そもそも届かなかったりする場合があります。 - パスワードレスを解除できない
Microsoftアカウントの「セキュリティ」画面から、パスワードレスを有効化・無効化する際、別の有効な認証手段が存在しないと切り替えが完了しないことがあります。Authenticatorアプリやハードウェアキーなど、バックアップ手段を用意しておきましょう。 - 古いデバイスでメールアプリが使用できない
Windowsの古いバージョンや、パスワード認証しかサポートしていないメールクライアントを使っている場合、新しい認証方式ではログインができないことがあります。この場合は専用のアプリパスワードを発行するか、対応するクライアントに切り替えるのがベストです。
コード例:PowerShellでのサインインログ確認
管理者や企業ユーザー向けには、Azure ADやMicrosoft 365管理センターなどでサインインログを確認する方法もあります。たとえば、簡単な例としてPowerShellを利用してサインインイベントを取得することが可能です。以下はAzure AD PowerShellモジュールの一例です。
# Azure AD PowerShellモジュールをインストール
Install-Module AzureAD
# モジュールをインポート
Import-Module AzureAD
# サインイン
Connect-AzureAD
# サインインイベントを取得(例)
$signInLogs = Get-AzureAdAuditSignInLogs -Top 10
foreach($log in $signInLogs){
Write-Host "ユーザー:" $log.UserPrincipalName
Write-Host "サインイン日時:" $log.CreatedDateTime
Write-Host "MFA詳細:" $log.MfaDetail
Write-Host "結果:" $log.ResultDescription
Write-Host "-----------"
}このように、組織でどの認証方式が使われているか、成功・失敗ログの詳細を確認できます。数字選択式によるログインであればMFADetailが反映される場合もあるので、セキュリティ対策やトラブルシューティングに役立つでしょう。
まとめ
「Verify its you by selecting the correct number」という画面が表示され、スマホのOutlookアプリで数字を選ぶ認証方式は、近年のMicrosoftが力を入れているパスワードレス・多要素認証の一端です。従来のパスワード入力やAuthenticatorアプリのTOTP認証よりも便利な部分があり、物理的にスマホを持っている本人しか認証できないため、不正ログインを防ぎやすい特長があります。
一方で、パスワードを併用している場合は、そのパスワードが漏れてしまう可能性をゼロにはできません。セキュリティを最優先するなら、「パスワードレスをメインに使いつつ、必要に応じて他の多要素認証を組み合わせる」設定が理想的です。
もし数字選択方式に馴染めない、もしくは別のハードウェアキーやTOTP認証に切り替えたい場合は、Microsoftアカウントのセキュリティ設定ページから簡単に変更できます。間違った数字を選んだ時は即ロックにはならないケースが多いものの、連続で失敗すればアカウントがロックされるリスクもあるため、落ち着いて操作しましょう。
総じて、今後さらに拡大していくパスワードレス認証の世界では、スマホアプリを使った数字選択方式は「簡単かつセキュア」であることが大きな魅力です。自分が利用するデバイスやアプリ環境に最適な認証方法を選び、定期的にセキュリティ設定を見直して、安全性を高めつつ快適にMicrosoftアカウントを活用してみてください。
コメント