Google Authenticator（グーグルオーセンティケーター）をPCで使う方法！公式版の有無と安全な代替手段

本ページはプロモーションが含まれています。

Google AuthenticatorはPCで利用できる？
Google AuthenticatorをPCで使う主な方法
スマホ版を使ってPCへログインする安全な手順
PC用Authenticator拡張機能を使う場合の設定方法
PCで認証コードを管理する際の危険性
スマホとPCで認証情報を共有する方法
認証コードが通らない場合の対処方法
PCで安全に二段階認証を運用するための準備

Google AuthenticatorはPCで利用できる？

Google Authenticatorは、ログイン時に求められる確認コードを生成する認証アプリです。パスワードを入力した後、一定時間ごとに切り替わる6桁前後のコードを追加で入力することで、第三者による不正ログインを防ぎやすくします。

結論からいうと、Googleが提供するGoogle Authenticatorに、Windows版やMac版の公式アプリはありません。Googleの公式案内で提供されているのはAndroid版とiPhone・iPad版です。Google PlayやApp Storeでも、スマートフォン上で確認コードを生成するアプリとして配布されています。

そのため、検索結果やアプリストアで見つけた「Google Authenticator PC版」「Google認証システム for Windows」といったソフトを、Google公式の製品だと思ってインストールしないよう注意が必要です。

PC版として表示されるツールはGoogle公式とは限らない

ChromeウェブストアやMicrosoft Edgeのアドオンストアでは、Authenticatorという名前を含む拡張機能が複数公開されています。これらの多くは、Google Authenticatorと同じ仕組みの認証コードを生成できる第三者製ツールです。

同じ6桁のコードが表示されるからといって、Googleが開発・管理しているとは限りません。確認するときは、ツール名よりも提供元を見ます。

特に混同しやすいのが、次の3つです。

Googleが提供するスマートフォン版Google Authenticator
他社が提供するTOTP対応の認証アプリやPCソフト
個人や企業が公開するAuthenticator系ブラウザ拡張機能

TOTPとは、現在時刻と登録時に発行された秘密鍵を組み合わせ、短時間だけ使える認証コードを生成する方式です。サービス側がTOTPに対応していれば、必ずしもGoogle Authenticatorでなければならないわけではありません。

一方で、秘密鍵を登録したツールは、その後も有効な認証コードを生成できます。信頼できないPCソフトや拡張機能にQRコードを読み取らせる行為は、ログインに使う重要情報を渡すこととほぼ同じです。

Chromeウェブストアなどの正規ストアで公開されていても、Google公式であることや安全性を完全に保証するものではありません。インストール前には、提供元、更新状況、プライバシーポリシー、要求される権限を個別に確認します。

PCで利用することとPC版アプリがあることは別

Google Authenticatorを使ってPCのサービスへログインすることは可能です。

標準的な使い方は、PCのログイン画面でIDとパスワードを入力し、スマートフォン版Google Authenticatorに表示されたコードをPCへ入力する方法です。この場合、認証コードを生成するのはスマートフォンであり、PCはコードの入力先になります。

スマートフォンを毎回取り出したくない場合は、TOTPに対応したパスワード管理ソフトや第三者製の認証ツールをPCで利用する選択肢もあります。ただし、それはGoogle AuthenticatorのPC版を使うのではなく、互換性のある別のツールを使う方法です。

この違いを理解していないと、次のような失敗が起こります。

Google公式だと思って非公式ソフトをインストールする
スマートフォン版と自動同期されると思い込む
拡張機能を削除した後に認証情報を復元できなくなる
ブラウザの初期化によって登録したコードをすべて失う
パスワードと認証コードを同じPCに保存し、端末分離の効果を弱める

Google AuthenticatorにはGoogleアカウントを使ったコード同期機能がありますが、対象はGoogleが提供するモバイルアプリ間の同期です。第三者製のPCツールやブラウザ拡張機能までGoogleアカウント経由で自動的に同期されるわけではありません。

スマートフォンがない場合に選べる方法

スマートフォンを所有していない、故障中で使えない、職場への持ち込みが禁止されているといった事情がある場合は、PC対応のTOTPツールを利用できる可能性があります。

ただし、サービスによって利用できる認証方法は異なります。認証アプリしか選べないとは限らないため、最初に対象サービスのセキュリティ設定を確認してください。

候補になるのは、主に次の方法です。

PC対応のパスワード管理ソフトで認証コードを生成する
Authenticator系のブラウザ拡張機能を利用する
パスキーや物理セキュリティキーを登録する
サービスが対応していればメールや別の確認方法を利用する
バックアップコードを緊急時のログイン手段として保管する

金融口座、広告管理画面、レンタルサーバー、会社の管理者アカウントなど、乗っ取られた場合の損失が大きいサービスでは、PCだけで認証を完結させないほうが安全です。パスワードを入力する端末と、本人確認に使う端末を分けることで、PCがマルウェアに感染した場合の被害を抑えやすくなります。

利便性を優先してよいのは、PCが自分専用であり、OSの更新、画面ロック、ディスク暗号化、マルウェア対策、バックアップが適切に行われている場合です。家族との共用PC、ネットカフェ、学校や会社の共有端末では、認証情報を保存してはいけません。

Google Authenticatorの公式PC版はありません。PCで使いたい場合は、スマートフォンのコードを入力する方法と、第三者製の互換ツールを利用する方法を区別して考えましょう

Google AuthenticatorをPCで使う主な方法

Google Authenticatorを使ってPCからログインする方法は、スマートフォン版を併用する方法、PC対応のパスワード管理ソフトを使う方法、ブラウザ拡張機能を使う方法、Androidアプリを動かせる環境を用意する方法に分けられます。

導入の簡単さだけで選ぶと、PCの故障やブラウザの初期化時にログインできなくなることがあります。利用するサービスの重要度、認証情報の保存場所、復旧手段まで確認して選ぶことが重要です。

スマートフォン版のコードをPCへ入力する方法

最も安全性と導入しやすさのバランスがよいのは、スマートフォン版Google Authenticatorでコードを確認し、PCのログイン画面へ入力する方法です。

基本的な流れは次のとおりです。

PCで対象サービスのセキュリティ設定を開く
二段階認証や認証アプリの設定を選ぶ
PC画面に表示されたQRコードをスマートフォンで読み取る
Google Authenticatorに表示された認証コードをPCへ入力する
設定完了後にバックアップコードを保存する
一度ログアウトし、再ログインできるか確認する

この方法では、パスワードを入力するPCと認証コードを生成するスマートフォンが分かれます。PCが不正操作された場合でも、スマートフォン内の認証情報まで同時に取得されにくい点が利点です。

認証コードは通信で毎回受信しているわけではありません。登録した秘密鍵と端末時刻を使って生成されるため、スマートフォンが圏外でも利用できます。

欠点は、ログインするたびにスマートフォンを手元に用意する必要があることです。ただし、ネットバンキング、証券口座、Google Workspaceの管理者、WordPressの管理画面など、重要度が高いアカウントでは、この手間を省かないほうが安全です。

PC対応のパスワード管理ソフトや拡張機能を使う方法

一部のパスワード管理ソフトには、IDとパスワードだけでなく、TOTPの秘密鍵を保存して認証コードを生成する機能があります。PCアプリやブラウザ拡張機能からコードを確認できるため、スマートフォンを使わずにログインできます。

日常的に多数の管理画面へログインする人には便利ですが、パスワードと認証コードを同じ保管庫に保存すると、二つの情報を一つの仕組みに集約することになります。

利用する場合は、少なくとも次の条件を確認してください。

保管庫が暗号化されている
マスターパスワードを使い回していない
保管庫自体に多要素認証を設定できる
WindowsとMacのどちらに対応するか明記されている
エクスポートや復元の方法が用意されている
提供元とサポート体制を確認できる
PCの紛失時に遠隔でセッションを無効化できる

Authenticator系のブラウザ拡張機能でも、PC上で認証コードを生成できます。QRコードを画面から読み取れるものもあり、導入は比較的簡単です。

しかし、ブラウザ拡張機能は製品によって安全性やバックアップ方式が大きく異なります。「Authenticator」という名称だけで判断せず、提供元の公式サイト、最終更新日、要求権限、データの保存先を確認してください。

特に注意したいのは、「閲覧したすべてのウェブサイト上のデータの読み取りと変更」など、用途に対して広すぎる権限を要求する拡張機能です。認証コードを表示するだけの機能に見えても、拡張機能にはブラウザ上の情報へ接触できる可能性があります。

登録前には、次の順番で確認すると判断しやすくなります。

開発者名と公式サイトが一致しているか
更新が長期間止まっていないか
バックアップが暗号化されるか
クラウド同期の保存先が説明されているか
拡張機能を削除した場合の復元方法があるか
不要なアクセス権限を要求していないか

設定後すぐにバックアップを作成し、復元できることまで確認します。バックアップファイルをデスクトップやダウンロードフォルダーへ置いたままにすると、PCを操作できる人に認証情報を取得されるおそれがあります。

AndroidアプリをPC上で動かす方法

Androidエミュレーターなどを使い、PC上でGoogle AuthenticatorのAndroidアプリを動かす方法も技術的には考えられます。しかし、通常の個人利用では優先度の低い選択肢です。

理由は、認証アプリ以外にエミュレーター本体の安全性や更新状況も管理しなければならないためです。動作環境が複雑になり、PCの更新後に起動しなくなる、仮想端末のデータが消える、バックアップから正常に復元できないといった問題も起こり得ます。

「Googleが提供するAndroid版を動かしているから安全」とは限りません。アプリが公式でも、それを実行するPC環境やエミュレーターが安全でなければ、認証情報を保護できないためです。

WindowsでAndroidアプリを利用できる仕組みについて書かれた古い記事を参考にする場合も注意が必要です。OSや関連サービスの提供状況は変わるため、数年前の手順が現在も利用できるとは限りません。

PCだけで完結させる必要があるなら、エミュレーターを構築するより、実績のあるTOTP対応ソフトや物理セキュリティキーを検討したほうが、管理項目を減らせます。

方法を選ぶ際は、次の基準で判断してください。

安全性を優先するなら、スマートフォン版を使う
PC作業の効率を優先するなら、信頼できるTOTP対応ソフトを使う
ブラウザだけで完結させるなら、拡張機能の提供元と権限を慎重に確認する
スマートフォンを使えないなら、パスキーや物理セキュリティキーも検討する
どの方法でも、バックアップコードを別の場所に保管する

業務アカウントでは、担当者個人のPCだけに認証情報を保存しないことも重要です。担当者の退職、PC交換、ブラウザプロファイルの削除が発生すると、ほかの社員がログインできなくなる可能性があります。管理責任者、復旧手順、バックアップコードの保管場所を事前に決めておきます。

Google AuthenticatorをPCで使う場合、便利さだけでなく「PCが壊れた翌日にログインを復旧できるか」を基準に選ぶと、運用上の失敗を減らせます。

迷ったときはスマートフォン版を基本にし、PCだけで認証コードを管理するのは、保存先と復旧方法を自分で説明できる場合に限定しましょう

スマホ版を使ってPCへログインする安全な手順

Google AuthenticatorをPCで使いたい場合、最も安全性と分かりやすさのバランスがよいのは、スマートフォンで認証コードを生成し、そのコードをPCのログイン画面へ入力する方法です。Googleが公式に提供しているGoogle AuthenticatorはAndroid、iPhone、iPad向けのアプリであり、Windows版やMac版の公式アプリではありません。PC側に認証情報を保存しないため、パスワードを入力する端末と確認コードを生成する端末を分けられます。

認証アプリを登録する前に復旧手段を確認する

設定を始める前に、対象サービスへ現在ログインできていることを確認してください。二段階認証の設定途中で画面を閉じたり、QRコードを登録した直後にスマートフォンを紛失したりすると、アカウントへ入れなくなる可能性があります。

先に確認しておきたい項目は次のとおりです。

登録済みのメールアドレスや電話番号を現在も利用できる
パスワードをパスワード管理ソフトなどで確認できる
バックアップコードを発行できる場所が分かる
信頼済み端末や別の認証方法が残っている
会社のアカウントでは管理者への連絡方法が分かる

バックアップコードが発行されるサービスでは、Google Authenticatorの設定と同じタイミングで保存してください。スマートフォンの写真フォルダへスクリーンショットとして置くより、紙へ印刷するか、暗号化されたパスワード管理ソフトへ保存する方が適しています。

Googleアカウントでは、スマートフォンの紛失や機種変更などで認証コードを取得できない場合に備えてバックアップコードを作成できます。認証アプリだけに依存せず、別のログイン手段を確保しておくことが重要です。

PCに表示されたQRコードをスマートフォンで読み取る

対象サービスへPCからログインし、アカウント設定やセキュリティ設定を開きます。サービスによって名称は異なりますが、「二段階認証」「2要素認証」「多要素認証」「認証アプリ」「ワンタイムパスワード」といった項目を探してください。

設定の流れは次のとおりです。

PCで対象サービスのセキュリティ設定を開く
二段階認証の認証方法として認証アプリを選ぶ
PC画面にQRコードを表示する
スマートフォンでGoogle Authenticatorを起動する
アカウント追加ボタンからQRコードのスキャンを選ぶ
スマートフォンのカメラでPC画面のQRコードを読み取る
アプリに表示された6桁の確認コードをPCへ入力する
サービス側で設定完了と表示されたことを確認する

QRコードには、一定時間で変わる確認コードを生成するための秘密情報が含まれています。通常のWebサイトのQRコードとは性質が異なるため、スクリーンショットをメールやチャットへ送ったり、共有フォルダへ保存したりしないでください。第三者が読み取ると、その人の端末でも同じ確認コードを生成できる可能性があります。

読み取りに失敗する場合は、スマートフォンをPC画面へ近づけすぎず、20～30センチほど離して試します。PC画面の明るさを上げる、ブラウザの表示倍率を100％へ戻す、QRコード全体がカメラ内に収まるようにする方法も有効です。

QRコードの下に「セットアップキー」「手動入力キー」などが表示されている場合は、カメラを使わずに登録できます。ただし、長い英数字を1文字でも間違えると正しいコードが生成されません。コピーできない場合は、数字の0と英字のO、数字の1と英字のIなどを見間違えていないか確認してください。

設定完了後にテストログインを行う

6桁のコードが受け付けられた時点で作業を終えるのではなく、必ずログインテストを行います。ただし、復旧手段を保存する前にすべての端末からログアウトするのは危険です。まずバックアップコードを保存し、現在の設定画面を開いたまま、別のブラウザやシークレットウィンドウから試してください。

テストでは、次の順番で確認します。

別のブラウザ画面で対象サービスのログインページを開く
IDとパスワードを入力する
Google Authenticatorに表示された対象アカウント名を確認する
残り時間が少ないコードを避け、新しく切り替わったコードを入力する
ログイン後に正しいアカウントが表示されることを確認する
保存したバックアップコードの保管場所を確認する

複数のメールアドレスやサービスを登録していると、別アカウントのコードを入力するミスが起こります。「Google」「仕事用」などの曖昧な名前ではなく、サービス名とメールアドレスの一部が分かる表示にすると見分けやすくなります。

コードが通らない場合は、PCとスマートフォンの日付、時刻、タイムゾーンを自動設定にしてください。確認コードは端末時刻を基準に生成されるため、スマートフォンの時計がずれていると、表示上は6桁のコードが出ていても認証に失敗します。Googleの案内でも、コードが正しく動作しない場合は端末時刻が正しいか確認するよう示されています。

この方法では、PCがマルウェアに感染した場合でも必ず安全になるわけではありません。入力したコードを偽サイトに送信させるフィッシング攻撃には注意が必要です。それでも、パスワードと認証情報を同じブラウザ内へ保存する方法より、端末を分ける効果を維持しやすくなります。ネット銀行、証券口座、広告管理、サーバー管理など、失った際の影響が大きいアカウントでは特に優先したい運用です。

先生の一言：PCへ入力するコードはスマートフォンで生成し、設定直後に別画面からログインテストを行うところまでを一連の作業にしましょう

PC用Authenticator拡張機能を使う場合の設定方法

スマートフォンを使用できない事情がある場合や、PC上で多数のアカウントを扱う必要がある場合は、TOTP方式に対応したAuthenticator拡張機能を利用する方法があります。ただし、ChromeウェブストアやMicrosoft EdgeアドオンにあるAuthenticator系の拡張機能は、Google Authenticatorの公式PC版とは限りません。

名称やアイコンにGoogleを連想させる表現があっても、提供元がGoogleでなければ第三者製ツールです。ストアに掲載されていることだけを理由に、安全性が保証されていると判断しないでください。

インストール前に提供元と要求権限を確認する

ChromeやEdgeの拡張機能ストアで「Authenticator」や「TOTP」と検索すると、似た名称の製品が複数表示されます。評価の星や利用者数だけではなく、認証情報を長期間預けられる提供元かという視点で選ぶ必要があります。

追加ボタンを押す前に、少なくとも次の項目を確認してください。

開発者名と公式サイトの運営者が一致している
最近も更新されており、長期間放置されていない
プライバシーポリシーで収集データが説明されている
認証情報を外部サーバーへ送信するか明記されている
エクスポート時にバックアップを暗号化できる
復元方法や問い合わせ先が用意されている
不要に広い権限を要求していない

特に注意したいのが、「アクセスしたすべてのウェブサイト上にあるデータの読み取りと変更」などの強い権限です。認証コードを生成するだけの拡張機能が、閲覧中の全サイトへ常時アクセスする必要があるのかを確認してください。Chromeの公式案内でも、拡張機能が要求する権限には段階があり、広範なデータへアクセスできる権限はリスクが高いものとして扱われています。

利用者数が多い拡張機能であっても、提供元の変更やアップデートによって仕様が変わることがあります。インストール時だけでなく、権限の追加を求められたときにも内容を確認してください。説明のない権限追加が表示された場合は、すぐに許可せず、更新履歴や提供元の告知を調べます。

会社のPCでは、個人判断で追加すると社内規定へ抵触する可能性があります。総務や情報システム担当者へ「第三者製の認証拡張機能へTOTPの秘密鍵を保存してよいか」「PC故障時の復旧手順は何か」を確認してから導入してください。

QRコードまたはセットアップキーを登録する

拡張機能を追加したら、最初にバックアップと保護機能の設定画面を確認します。マスターパスワード、ロック機能、暗号化エクスポートが用意されている場合は、アカウントを登録する前に設定してください。

サービス側で二段階認証を有効にし、QRコードが表示されたら、拡張機能のアカウント追加機能を開きます。主な登録方法は、PC画面上のQRコードを選択して読み取る方法と、セットアップキーを手動入力する方法です。

画面上のQRコードを読み取る機能は便利ですが、拡張機能へ表示中ページの情報を読み取る権限を与えることになります。読み取り範囲を「クリックしたときのみ」や「特定サイトのみ」に制限できる場合は、常時許可よりも限定的な設定を選びます。

手動登録では、通常、次の情報を入力します。

サービス名
アカウント名またはメールアドレス
セットアップキー
認証方式
コードの桁数
更新間隔

サービス側から特別な指定がなければ、認証方式は時間を基準にコードを生成するTOTP、桁数は6桁、更新間隔は30秒であることが多いものの、画面に表示された指定を優先してください。推測で変更すると認証できなくなります。

登録後は拡張機能に表示されたコードをサービス側へ入力します。認証に成功するまでは、サービス側のQRコード画面を閉じないでください。登録を確定する前に別の端末や別の拡張機能へ追加したい場合も、この段階で行います。

コードが拒否されたときは、セットアップキーの入力ミス、認証方式の選択ミス、PC時刻のずれを確認します。ブラウザのキャッシュ削除は最初に行う対処ではありません。認証コードは秘密鍵と時刻から生成されるため、まず登録内容とOSの時刻設定を見直す方が原因を特定しやすくなります。

バックアップを作成してから運用を開始する

拡張機能で最も起こりやすい問題は、設定時ではなく、ブラウザの初期化やPCの買い替え時に認証情報を失うことです。ブラウザへログインして同期を有効にしていても、拡張機能本体の同期と、内部に保存した秘密情報の同期は同じではありません。

Google AuthenticatorアプリのGoogleアカウント同期も、第三者製のブラウザ拡張機能へ自動的に認証情報を同期する仕組みではありません。スマートフォン側に登録したアカウントが、同じGoogleアカウントでChromeへログインするだけで拡張機能へ現れるとは限らない点に注意してください。

設定完了後は、拡張機能のエクスポート機能を使用してバックアップを作成します。バックアップファイルを平文のCSVや暗号化されていないテキストで保存すると、ファイルを入手した第三者に認証コードを生成される可能性があります。暗号化形式を選び、推測されにくい専用パスワードを設定してください。

保管場所は、認証拡張機能を使用しているPCとは別にします。同じPCのデスクトップへ置いたままでは、故障、盗難、マルウェア感染に対する備えになりません。暗号化したUSBメモリーや、アクセス制限を設定した安全な保管先などが候補です。バックアップ用パスワードも同じフォルダへ保存しないでください。

運用開始前には、次の確認を行います。

拡張機能から正常な確認コードが生成される
別ブラウザから対象サービスへログインできる
バックアップコードを保存している
暗号化バックアップを別の場所へ保管している
拡張機能を削除した場合の復元手順が分かる
PCの利用者アカウントにパスワードや生体認証を設定している
ブラウザを離れるときに拡張機能をロックできる

共有PC、インターネットカフェ、学校の共用端末へ認証情報を登録してはいけません。自分専用のPCでも、家族や同僚が同じWindowsアカウントを使う環境では、拡張機能を開かれる可能性があります。OSのユーザーアカウントを分け、離席時には画面をロックしてください。

PC用Authenticator拡張機能は、パスワード入力と確認コード生成を同じ端末で完結できる一方、PCが乗っ取られたときには両方を同時に奪われる範囲が広がります。日常的な個人サービスでは利便性を優先する選択肢になり得ますが、金融口座、暗号資産、サーバー、ドメイン、会社の管理者アカウントでは、スマートフォンや物理セキュリティキーなど、PCとは別の認証手段を優先する方が安全です。

先生の一言：拡張機能は公式PC版ではないため、名前ではなく提供元、権限、暗号化バックアップ、復元手順の4点を確認してから登録しましょう

PCで認証コードを管理する際の危険性

Google Authenticatorの認証コードをPC上で確認できれば、スマートフォンを取り出す手間がなくなります。ただし、GoogleがWindows版やMac版のGoogle Authenticatorを提供しているわけではありません。PCで認証コードを生成する場合は、ブラウザ拡張機能やTOTP対応ソフトなど、Google以外の事業者が提供するツールへ認証情報を保存することになります。

導入前に理解しておきたいのは、6桁の認証コードそのものより、そのコードを生成するための秘密鍵が重要だという点です。秘密鍵を入手した第三者は、手元の端末で有効な認証コードを継続的に生成できます。30秒ほどで表示が切り替わるから安全だと思われがちですが、元になる秘密鍵が漏れれば、コードが更新されても問題は解消しません。

パスワードと認証コードを同じPCに置くリスク

二段階認証には、パスワードが漏れても別の端末にある認証コードで不正ログインを防ぐ役割があります。ところが、パスワード入力と認証コード生成を同じPCで行うと、この端末分離の効果が弱くなります。

たとえば、PCが情報窃取型マルウェアに感染した場合、ブラウザに保存されたIDやパスワードだけでなく、拡張機能内の認証情報まで盗まれる可能性があります。遠隔操作を受けている状態なら、画面に表示されたコードを読み取られたり、ログイン済みのセッションをそのまま悪用されたりすることもあります。

PCで認証コードを管理しても二段階認証が無意味になるわけではありません。パスワードだけが外部サービスから流出したケースには一定の効果があります。ただし、利用中のPCそのものが侵害された場面では、スマートフォンに認証情報を分けている場合より防御力が下がります。

特に次のアカウントは、PCだけで認証を完結させない方が安全です。

ネットバンキングや証券会社などの金融口座
GoogleアカウントやApple Accountなど、ほかのサービスを復旧できる基幹アカウント
WordPressやサーバー、ドメイン管理会社の管理者アカウント
Google広告やSNSなど、事業の売上や集客に直結するアカウント
顧客情報や社内資料へアクセスできる業務アカウント

一方、損失の影響が限定的な個人用サービスで、PCの利便性を優先したい場合は選択肢になります。すべてのアカウントを同じ方法で管理せず、侵害されたときの損失で分けるのが現実的です。

Authenticator拡張機能の提供元と権限を確認する

ChromeウェブストアやEdgeアドオンに掲載されているからといって、Google公式のAuthenticatorとは限りません。名称やアイコンにGoogleを連想させる表現が使われていても、提供元が別会社や個人開発者であることがあります。

ストアの審査を通過していることは、安全性を保証するものではありません。インストール前には、少なくとも次の項目を確認します。

提供元の名称と公式サイトが一致しているか
最近も更新が続いているか
プライバシーポリシーに認証情報の保存先が書かれているか
閲覧履歴や全Webサイトのデータなど、用途に対して過剰な権限を要求していないか
バックアップデータが暗号化されるか
エクスポート時にパスワードを設定できるか
開発終了やサービス停止時の移行方法が用意されているか

利用者数やレビュー件数だけで判断するのも危険です。公開後に所有者が変わったり、更新によって新しい権限が追加されたりすることがあるためです。ブラウザの更新後や拡張機能の権限変更通知が出たときは、内容を読まずに許可しないようにします。

PC故障より起こりやすいブラウザ初期化による消失

PCで認証コードを管理する場合、故障だけでなくブラウザ側の操作でも登録情報を失います。よくあるのは、Chromeのプロファイルを削除した、Edgeを初期化した、拡張機能を再インストールした、Windowsを再セットアップしたといったケースです。

不具合の対処として拡張機能を一度削除し、入れ直そうとする人もいます。しかし、削除と同時に認証情報まで消える仕様なら、再インストール後にコードを復元できません。ログインできない状態で二段階認証を解除するには、サービス運営会社への本人確認が必要になり、復旧まで数日以上かかることもあります。

拡張機能を削除する前には、暗号化されたバックアップの有無と、対象サービスのバックアップコードを確認します。バックアップを作成しただけで安心せず、別環境へ復元できる形式か、復号用パスワードを覚えているかまで確認してください。

共有PCや会社の共用アカウントでは、認証コードを表示できる人の範囲も問題になります。ブラウザを開けば誰でもコードを確認できる状態では、担当者以外の操作を防げません。会社で利用する場合は、個人のブラウザ拡張に管理者アカウントを登録するのではなく、パスワード管理ツールの共有機能や物理セキュリティキーなど、利用者と操作履歴を管理できる方法が適しています。

PCでの認証コード管理は便利ですが、重要なアカウントほどパスワードと認証手段を別の端末に分けることが基本です

スマホとPCで認証情報を共有する方法

スマートフォンとPCの両方で同じ認証コードを表示するには、両方の端末へ同じTOTP秘密鍵を登録する必要があります。Google AuthenticatorのGoogleアカウント同期と、PC用の非公式Authenticatorツールが備える同期機能は別の仕組みです。スマホ側で同期を有効にしても、ブラウザ拡張機能へ自動的に認証情報が追加されるわけではありません。

認証情報を共有する方法は、主に初回設定時のQRコードを両方で読み取る方法と、登録済み情報を移行用QRコードやエクスポートデータで移す方法があります。安全性を優先するなら、既存の全アカウントを一括で移すより、必要なサービスだけを個別に追加する方が秘密鍵の露出を抑えられます。

初回設定のQRコードをスマホとPCへ登録する

サービスの二段階認証設定画面に表示されるQRコードには、認証コードを作るための秘密鍵が含まれています。この画面を閉じて設定を完了すると、同じQRコードを再表示できないサービスが少なくありません。

スマホとPCの両方へ登録する場合は、設定を確定する前に次の順番で作業します。

サービスのセキュリティ設定で認証アプリを選択する
表示されたQRコードをスマートフォンのGoogle Authenticatorで読み取る
同じQRコードをPC側のTOTP対応ツールでも読み取る
スマホとPCに同じ6桁のコードが表示されることを確認する
サービス側の入力欄へコードを入れて設定を確定する
一度ログアウトし、どちらの端末でもログインできるか試す
発行されたバックアップコードを認証端末以外へ保管する

コードが異なる場合は、別の秘密鍵を登録したか、どちらかの端末の時刻がずれている可能性があります。PCとスマートフォンの日時、タイムゾーン、時刻の自動設定を確認してから再度比較します。

QRコードのスクリーンショットをデスクトップやクラウド写真へ保存する方法は避けた方が安全です。画像を入手した人は、同じ認証コードを生成できるためです。どうしても一時保存が必要な場合は、暗号化された保管場所を使い、登録完了後に通常のフォルダやごみ箱から削除します。

Google Authenticatorの移行用QRコードを扱う際の注意点

スマートフォン版Google Authenticatorには、登録済みアカウントを別の端末へ移すための書き出し機能があります。選択した認証情報を移行用QRコードとして表示し、新しいスマートフォンのGoogle Authenticatorで読み取る仕組みです。

このQRコードは一般的なカメラで読み取るためのものではなく、Google Authenticator間の移行を想定した形式です。PC用のAuthenticator拡張機能によっては読み込めない場合があります。対応していないツールへ無理に取り込もうとして、QRコードを変換サイトへアップロードしたり、解析ツールへ貼り付けたりしてはいけません。

移行用QRコードには複数アカウントの秘密情報が含まれる場合があります。一枚を第三者に見られただけで、Google、SNS、サーバー、ゲームなど複数サービスの認証情報がまとめて漏れるおそれがあります。画面共有中に表示しない、オンライン会議の録画に残さない、会社のチャットへ画像を送らないといった扱いが必要です。

PC側へ登録する目的だけで、スマホ内の全アカウントを書き出すのも避けます。PCで使う必要があるサービスを選別し、可能であれば各サービスの二段階認証設定から個別に再登録してください。手間は増えますが、重要な金融口座まで非公式ツールへ移してしまう失敗を防げます。

同期よりバックアップコードを優先する運用

スマホの紛失対策として、PCにも同じ認証情報を入れたいと考える人は少なくありません。ただし、端末を増やすほど秘密鍵の保存先も増え、漏えいの入口が広がります。復旧手段を確保するだけなら、すべての認証情報をPCへ複製する必要はありません。

多くのサービスでは、二段階認証の設定時に一回限りのバックアップコードが発行されます。スマートフォンを紛失しても、このコードでログインし、新しい認証アプリを登録できます。

バックアップコードは次のように保管します。

認証アプリを入れているスマートフォンやPCとは別の場所に置く
パスワード付きの暗号化ファイルや信頼できるパスワード管理ツールへ保存する
紙で保管する場合は、他人が簡単に見られない場所へ置く
使用したコードを判別できるように管理する
コードを再発行したときは、古いものを確実に破棄する

復旧用メールアドレスや電話番号も確認しておきます。登録先がすでに使えないメールアドレスだったり、解約済みの電話番号だったりすると、バックアップコードを失った際の復旧が難しくなります。

PCとスマホの両方へ登録した後は、どちらかを予備端末として放置しないことも重要です。売却、廃棄、家族への譲渡、会社への返却をする前に認証情報を削除します。認証アプリをアンインストールするだけでなく、端末の初期化やブラウザプロファイルの削除まで行った方が確実です。

アカウント一覧を簡単に記録しておくと、端末交換時の確認がしやすくなります。記録するのはサービス名、認証情報を保存している端末、バックアップコードの保管場所です。秘密鍵や6桁のコード自体を一覧表へ書く必要はありません。

スマホとPCの共有は全アカウントを一括同期するのではなく、必要なものだけを選び、別に復旧手段を残す運用が安全です

認証コードが通らない場合の対処方法

Google AuthenticatorやPC上のTOTP対応ツールに6桁の認証コードが表示されていても、入力時にエラーになることがあります。原因はコードそのものではなく、端末の時刻、選択したアカウント、登録済みの秘密鍵、サービス側の認証設定などに分かれます。

焦ってコードを何度も入力すると、一時的なログイン制限がかかる場合があります。まずは連続入力を止め、原因を一つずつ切り分けることが重要です。

新しいコードと端末時刻を確認する

最初に、表示されたコードの残り時間を確認します。認証コードは一定時間ごとに切り替わるため、残り数秒の状態で入力すると、送信した時点ですでに無効になっていることがあります。

コードが切り替わるのを待ち、新しく表示された6桁の数字を入力してください。コピー機能を使った場合は、数字の前後に空白が入っていないかも確認します。手入力では、隣のアカウントのコードを見ていたり、数字を一つ飛ばしたりするミスが起こりやすいため、送信前に桁数を見直します。

新しいコードでも通らない場合は、認証コードを生成している端末の時刻を確認します。TOTP方式の認証コードは、登録時の秘密鍵と現在時刻を組み合わせて作られます。そのため、PCやスマートフォンの時計が数十秒ずれているだけでも、サービス側が計算したコードと一致しないことがあります。

Windowsでは、設定から時刻と言語、日付と時刻の順に開き、時刻を自動的に設定する項目とタイムゾーンを自動的に設定する項目を確認します。自動設定が有効でもずれている場合は、今すぐ同期を実行してください。

Macでは、システム設定の日付と時刻を開き、日付と時刻を自動的に設定する項目を有効にします。スマートフォン側のGoogle Authenticatorを使っている場合も、端末の日付と時刻を自動設定にします。

海外出張や旅行の後は、時計は合っていてもタイムゾーンだけが以前の地域のままになっていることがあります。手動で時刻を調整するのではなく、自動設定へ戻してから再度コードを試す方が確実です。

サービス名とログイン先のアカウントを照合する

Google Authenticatorに複数の認証情報を登録している場合は、入力しているコードが本当に対象アカウントのものか確認します。

同じサービスを個人用、仕事用、管理者用などで複数登録していると、一覧上では似た名前が並びます。Google、WordPress、Microsoft、SNSなどのサービス名だけを見るのではなく、認証アプリに表示されているメールアドレスやユーザー名まで照合してください。

PC用の拡張機能を使っている場合は、次の点も確認します。

現在ログインしているブラウザープロファイルが正しいか
ChromeとEdgeの別々の拡張機能を見間違えていないか
テスト環境と本番環境の認証情報が混在していないか
古い登録情報と再設定後の登録情報が両方残っていないか
別の会社や顧客の同名アカウントを選んでいないか

特に多いのが、二段階認証を再設定した後も、以前の認証情報を削除せず残しているケースです。サービス側で新しいQRコードを発行すると、以前の秘密鍵から生成されるコードは使えなくなります。認証アプリに同じ名前の項目が二つある場合は、どちらが新しい登録かを確認しなければなりません。

ただし、ログインできることを確認する前に古い項目を削除するのは危険です。新しい認証情報でテストログインが成功してから、不要な項目を削除してください。名称を編集できるツールでは、会社名、用途、メールアドレスを含めて識別しやすくしておくと、入力ミスを減らせます。

ログイン不能時は復旧手段を順番に試す

時刻とアカウントが正しいにもかかわらず認証できない場合は、認証アプリ以外の方法でログインできないか確認します。サービスによっては、認証画面に別の方法を試す、バックアップコードを使用する、登録済み端末で承認するなどの選択肢があります。

復旧手段は、次の順番で確認すると安全です。

保存してあるバックアップコードを使用する
登録済みの別端末や別の認証アプリを試す
SMS、メール、パスキー、セキュリティキーなど別の認証方法を選ぶ
すでにログイン済みのスマートフォンやPCからセキュリティ設定を開く
サービスの正式なアカウント復旧手続きを利用する

バックアップコードは通常、一度使うと無効になります。使用後は、アカウントのセキュリティ設定から新しいコードを発行し直してください。

すでにログインしている端末がある場合は、ログアウトしないことが重要です。その端末が認証設定の変更やバックアップコードの再発行に使える可能性があります。ブラウザーの履歴削除、Cookieの削除、PCの初期化なども、復旧が完了するまでは避けます。

認証設定をいったん解除して再登録する場合は、必ずログイン可能な端末を残した状態で作業します。先にPC用拡張機能から登録情報を削除したり、スマートフォンを初期化したりすると、設定画面へ戻れなくなるおそれがあります。

PC用の拡張機能に不具合が疑われる場合も、すぐに削除してはいけません。拡張機能を削除すると、保存されている認証情報まで消える製品があります。エクスポート機能、暗号化バックアップ、別端末の登録状況を確認してから更新や再インストールを行います。

何度も失敗してアカウントが一時的にロックされた場合は、入力を続けず、サービスが指定する時間を空けます。偽のサポート窓口や、検索広告から誘導される非公式の復旧ページへ認証コード、バックアップコード、秘密鍵を入力してはいけません。正規のログイン画面と公式のサポート経路だけを使用してください。

認証コードが通らないときは、連続入力よりも、時刻、対象アカウント、復旧手段の順で確認する方が早く安全に原因を特定できます

PCで安全に二段階認証を運用するための準備

Google Authenticatorを使った二段階認証は、設定した時点で終わりではありません。スマートフォンの故障、PCの買い替え、ブラウザープロファイルの削除、担当者の退職といった出来事が起きても、正規の利用者がログインできる状態を維持する必要があります。

特にPCだけで認証コードを生成する構成では、パスワードを入力する端末と認証コードを保管する端末が同じになります。操作は楽になりますが、PCがマルウェアや遠隔操作の被害に遭った場合、二つの認証要素をまとめて奪われる可能性があります。

安全性を優先するアカウントでは、PCだけで完結させることを前提にせず、端末故障と不正アクセスの両方に備えた構成を決めておきます。

バックアップコードと復旧経路を先に確保する

二段階認証を有効にした直後に行うべき作業は、バックアップコードの保存です。バックアップコードは、認証アプリを使えないときに本人確認へ利用できる使い切りのコードで、サービスによっては複数個まとめて発行されます。

保存場所は、普段使うPCのデスクトップやダウンロードフォルダーを避けます。PCが故障したときに一緒に失われるだけでなく、マルウェアや第三者に見られる危険があるためです。

現実的な保管方法としては、次のような選択肢があります。

紙に印刷し、鍵のかかる場所へ保管する
暗号化されたパスワード管理ソフトへ保存する
暗号化した外部ストレージへ保存し、通常はPCから外しておく
会社では管理責任者用と緊急復旧用に分けて保管する

紙で保存する場合は、コードだけでは何のアカウント用か分からなくなるため、サービス名、対象のメールアドレス、発行日を一緒に記載します。ただし、パスワードまで同じ用紙へ書くと、一枚の流出でログイン情報がそろってしまいます。パスワードとバックアップコードは保管場所を分けてください。

復旧用メールアドレスや電話番号も確認します。以前の勤務先メール、解約済みの携帯電話番号、アクセスできない古いメールアドレスが登録されたままでは、緊急時に役立ちません。

バックアップコードを保管しただけで安心せず、どの画面から使うのかも確認しておきます。サービスによって、別の方法を試す、コードをお持ちの場合、アカウントを復元するなど表示名が異なるためです。緊急時に初めて探すより、平常時に手順を把握しておく方が混乱を防げます。

端末交換とブラウザー初期化に備えて棚卸しする

機種変更やPCの買い替えで問題になるのは、認証アプリの登録数が多くなり、どのサービスに二段階認証を設定したか分からなくなることです。移行前に認証情報の一覧を作り、復旧方法を確認します。

一覧には、少なくとも次の項目を記録します。

サービス名
ログインに使うメールアドレスまたはID
認証コードを生成する端末やツール
バックアップコードの保管場所
代替の認証方法
管理責任者
最終確認日

秘密鍵や現在の認証コードを一覧表へ直接記載する必要はありません。目的は、認証情報そのものを集約することではなく、どのアカウントを、誰が、どの方法で復旧できるかを確認することです。

PC用Authenticator拡張機能を利用している場合は、ブラウザーへのログインだけで認証情報まで復元されるとは限りません。ChromeやEdgeの同期機能と、拡張機能独自のバックアップ機能は別物です。ブックマークや設定が戻っても、TOTPの秘密鍵は戻らないことがあります。

買い替え前には、利用中のツールが次のどの方式に対応しているか確認してください。

暗号化されたエクスポートファイル
マスターパスワードで保護されたクラウド同期
別端末への手動登録
サービス側での二段階認証の再設定
バックアップ機能なし

移行作業では、旧端末を消去する前に新端末でテストログインします。認証コードが表示されるだけでは不十分です。実際に対象サービスからログアウトし、新しい端末で生成したコードを使ってログインできることを確認してください。

ただし、唯一ログインしている端末から無計画にログアウトするのは避けます。新旧端末を並べられる状態で移行し、少なくとも一つの復旧手段が使えることを確認してから旧端末を初期化します。

アカウントの重要度に応じて認証方法を分ける

すべてのアカウントを同じ方法で管理する必要はありません。失った場合の影響に応じて、認証方法を分ける方が合理的です。

ネットバンキング、証券口座、Googleアカウント、クラウド管理者、ドメイン管理、広告アカウント、会社の代表SNSなどは、侵害された場合の被害が大きくなります。こうした重要アカウントでは、パスワード入力と認証コード生成を同じPCへ集約せず、スマートフォン、パスキー、物理セキュリティキーなどを優先します。

TOTPの6桁コードは二段階認証として有効ですが、偽のログイン画面へ入力すると、攻撃者にリアルタイムで転送される可能性があります。パスキーやFIDO対応のセキュリティキーは、利用している正規ドメインと認証情報を結び付けるため、一般的な認証コードよりフィッシングへの耐性が高い方式です。

PC上の認証ツールは、機密性の低いサービス、個人の検証環境、スマートフォンを利用できない事情がある場合などに限定する方法があります。利便性を理由にすべての認証情報を一つの拡張機能へ集約すると、その拡張機能やブラウザープロファイルが単一障害点になります。

会社で運用する場合は、担当者個人のスマートフォンだけに認証情報を入れないことも重要です。退職、休職、端末紛失が発生すると、会社のアカウントであっても復旧できなくなることがあります。

少なくとも、次の運用ルールを決めておきます。