二段階認証を設定したのに、機種変更やスマホ紛失の瞬間に「ログインできない」と気付いて焦った経験はないでしょうか。SMSが届かない、認証アプリが開けない、バックアップも復元できない――こうした場面で頼りになるのが「バックアップコード」です。しかし、名前は聞いたことがあっても「どこで発行し、どう保管し、いつ使うのか」が曖昧なまま放置されがちで、いざというときに役に立たないケースが少なくありません。
本記事では、バックアップコードの基本的な意味から、必要になる典型シーン、発行と再生成の考え方、安全に保管する優先順位、使えないときの原因別対処までを、サービス横断で整理して分かりやすく解説いたします。読み終える頃には、「もし今日スマホが使えなくなっても復旧できる状態」を具体的に作れるようになります。
※本コンテンツは「記事制作ポリシー」に基づき、正確かつ信頼性の高い情報提供を心がけております。万が一、内容に誤りや誤解を招く表現がございましたら、お手数ですが「お問い合わせ」よりご一報ください。速やかに確認・修正いたします。
バックアップコードとは何か
二段階認証での役割と使うタイミング
バックアップコードとは、二段階認証(2FA)または多要素認証(MFA)を設定しているアカウントで、通常の追加認証が利用できない状況に備えて用意される「緊急用のログインコード」です。一般に、SMSで受け取る確認コードや認証アプリが生成するワンタイムコードの代わりとして使います。
二段階認証は、IDとパスワードだけではログインできないようにし、追加の確認(SMS、認証アプリ、セキュリティキーなど)を通して本人であることを確かめる仕組みです。これにより、不正ログインのリスクを大きく下げられます。一方で、追加認証に使っているスマホを失くした、壊れた、機種変更で移行がうまくいかない、といった場面では「本人なのにログインできない」状態になり得ます。バックアップコードは、その穴を埋めるための“最後の予備鍵”として位置付けられます。
バックアップコードを使うタイミングの典型は、次のとおりです。
認証アプリを入れた端末を紛失・故障し、コードが表示できない
SMSが受信できない(圏外、海外、回線停止、SIM変更など)
端末の初期化や機種変更で認証アプリの復元に失敗した
会社・家族など複数人が関与するアカウントで、担当端末にアクセスできない
ここで重要なのは、バックアップコードは「普段使いの便利機能」ではなく「緊急時の復旧手段」である点です。普段は使わない前提で、確実に使える状態(=見つけられる、入力できる、最新である)を維持することが目的になります。
ワンタイムパスワードや認証アプリとの違い
バックアップコードは、似た用語と混同されやすいものです。混同が起こると、いざというときに誤った手順を試し続けてしまい、復旧が遅れます。ここでは、似た仕組みとの違いを整理いたします。
| 用語 | 目的 | 使うタイミング | 代表的な特徴 | 典型的なリスク |
|---|---|---|---|---|
| バックアップコード | 通常の追加認証が使えない場合の代替 | 端末紛失・故障、SMS受信不可など緊急時 | 事前に複数個を発行して保管、使い切りが多い | 漏えいすると突破口になり得る/紛失すると本人でも復旧困難 |
| ワンタイムパスワード | 通常の追加認証 | 普段のログイン時 | 30秒ごとなど一定間隔で変わる、認証アプリで生成 | 端末が使えないと生成できない |
| 認証アプリ | ワンタイムパスワードを生成する手段 | 普段のログイン時 | 端末上でコード表示、機種変更の移行が課題になりやすい | 端末紛失・初期化でログイン不能になりやすい |
| リカバリーコード/回復コード | アカウント回復の補助 | パスワード忘れ、侵害疑い、復旧手続きなど | サービスにより意味が近い場合と別物の場合がある | 用語の揺れで混乱しやすい |
| パスキー | パスワードを置き換える認証方式 | ログイン全般 | 端末の生体認証等でログイン、フィッシング耐性が高い | 端末依存が強く、復旧導線の理解が必要 |
ポイントは、バックアップコードは「代替」である点です。認証アプリやSMSの“普段の追加認証”を補助するものではなく、普段の手段が使えないときにだけ使います。つまり、バックアップコードを適切に扱えるかどうかは、「セキュリティ」だけでなく「可用性(ログインできる状態の維持)」にも直結します。
バックアップコードが発行される仕組みと特徴
バックアップコードの仕様はサービスによって異なりますが、運用上、共通して押さえるべき特徴があります。
事前発行が前提
バックアップコードは、ログインできる状態のうちに発行して保存しておく必要があります。困ってから発行しようとしても、設定画面に入るために追加認証が求められ、結局見られないことがあるためです。複数個セットで提供されることが多い
1つだけだと、使った後にまた詰むため、複数個が一括で発行される形式が一般的です。使うたびに残数が減るイメージです。使い切り(ワンタイム)である場合が多い
一度使ったコードは無効になる設計が多く、同じコードを繰り返し使うことはできない前提で考えるのが安全です。再生成(再発行)で旧コードが失効することが多い
「新しいバックアップコードを作る=古いコードが使えなくなる」という運用が多く、ここを理解していないと、紙に書いた古いコードを握りしめたまま、いつまでたってもログインできません。サービスごとの独自ルールがある
例えば、取得数の上限、使う順番、表示方法(ダウンロード・印刷)、管理画面の場所などに差が出ます。したがって「共通ルールを理解したうえで、最後に各サービスの仕様で確認する」順番が最も混乱しません。
これらを踏まえると、バックアップコードは「発行しただけ」で完了しません。保管、更新、棚卸し(最新版である確認)まで含めて、初めて意味のある対策になります。
バックアップコードが必要になる典型パターン
端末の紛失や故障
もっとも頻度が高いのは、認証アプリを入れた端末の紛失・故障です。二段階認証が有効になっていると、パスワードが正しくても、追加認証を通せない限りログインできません。これはセキュリティ上は正しい挙動ですが、本人にとっては「詰んだ」と感じやすい状況です。
端末紛失・故障時にバックアップコードが役に立つ理由は明確です。認証アプリが開けない以上、認証アプリでコードを出せません。しかしバックアップコードは「事前に別の場所へ保管している」ことが前提なので、端末がなくても入力できます。
このときの実務上の注意点は、次の2点です。
バックアップコードを端末内だけに保存していないか
端末紛失時に一緒に失われる保存形態(端末内メモ、写真フォルダのみなど)だと意味がありません。ログイン後の再設定を必ず行うか
端末が戻らない前提で、認証手段(認証アプリ、SMS、パスキーなど)を再設定し、不要な端末をサインアウトすることが重要です。
機種変更や初期化で認証アプリが戻らない
次に多いのが機種変更・初期化に伴うトラブルです。移行の手順はサービスや認証アプリの種類で変わりますが、現場で起こりがちなのは次のパターンです。
新端末を用意したが、旧端末を初期化してしまい移行用の設定が消えた
バックアップやクラウド復元が想定どおりに動かず、認証アプリが空になった
SIMの差し替えや回線契約の変更でSMSが受け取れず、二重に詰んだ
会社支給端末の交換で、管理制限によりアプリ移行が難しい
このケースは「慣れている人ほど起きる」ことがあります。手順を分かっているつもりで前倒しに初期化してしまう、あるいは“復元できるはず”と過信してしまうためです。バックアップコードがあれば、最悪の状況でもログインして設定を整え直す導線を確保できます。
圏外や海外でSMSが受け取れない
SMSを二段階認証の手段にしている場合、SMSが届かないだけでログインが止まります。圏外、基地局混雑、ローミング、SMS受信制限、番号変更、回線停止、SIM紛失など、原因は多岐にわたります。特に海外渡航中は「今すぐ必要なのに受信できない」状況になりやすく、バックアップコードの価値が高まります。
ここでの落とし穴は、次のとおりです。
SMSが届くまで待てばよいと思っていたが、そもそも受信設定や契約条件で届かない
旅行中に回線トラブルが起き、サポートへの連絡も難しい
代替手段(認証アプリ、バックアップコード)を準備していなかった
海外や移動が多い方ほど、バックアップコードの保管は「紙+別の場所」など、ネットや端末に依存しない形を検討する価値があります。
バックアップコードの取得と再生成の基本手順
発行前に確認すべき前提条件
バックアップコードの取得(発行・表示)に入る前に、次の前提を確認してください。ここを飛ばすと「発行したはずなのに、いざというとき見つからない」問題が起きます。
二段階認証(2FA/MFA)が有効になっている
バックアップコードは、追加認証の仕組みの一部として用意されるため、2FAが無効だと存在しないことが一般的です。現在ログインできる状態である
発行は設定画面から行うことが多いため、ログインできない状態だと発行できません。保管方法を先に決めている
発行して画面に表示されたコードを、どこに、どの形式で保存するかを決めてから作業すると、漏えいや紛失を防げます。更新時の運用(再生成したら古いものを破棄)を理解している
“古いコードが残っている状態”を作らないことが重要です。
発行前チェックリスト
2FA/MFAが有効である
バックアップコードの保管先を決めた(紙/保管庫/パスワードマネージャ等)
パスワードと同じ場所に保存しない方針にした
家族・社内共有が必要な場合のルールを決めた
再生成時に旧版を破棄する運用にした
バックアップコードでログインする流れ
サービスごとに表示や文言は異なりますが、ログイン時の流れは概ね共通しています。迷わないために、抽象化した手順を押さえてください。
IDとパスワードを入力してログインを開始する
追加認証の画面で、別の方法を選択する
「別の方法を試す」「別の確認方法」「コードを使用」「バックアップコード」などの文言が多いです。バックアップコードを入力する
ここで入力するのは、SMSで届く短いコードや認証アプリのワンタイムコードではなく、事前に発行して保存していたバックアップコードです。ログイン後、認証手段を整える
端末を紛失したなら、認証手段の再設定、不要端末のサインアウト、パスワード変更などを行い、次のトラブルを防ぎます。
入力時の注意(よくあるミス)
文字の見間違い(Oと0、Iと1など)
ハイフンや空白の扱い(自動で除去される場合とされない場合がある)
入力欄を間違えている(ワンタイムコード欄とバックアップコード欄が別)
そもそも別の種類のコード(回復コード等)を入れている
再生成と失効のルールを理解する
バックアップコード運用の“核心”がここです。バックアップコードが役に立たない原因の多くは、紛失ではなく「古いコードを握っている」ことにあります。
再生成(再発行)の基本
多くのサービスでは、バックアップコードは「一括で再生成」できます。再生成は便利ですが、同時に次のリスクも伴います。
旧コードが無効になる
新しいセットが発行された瞬間に、古いセットは使えないと考えるのが安全です。保管物の更新が必要になる
紙に印刷していた、メモに控えていた、保管庫に保存していたなど、どの形式でも「最新版への差し替え」が必須です。複数人運用では事故が起きやすい
誰かが再生成したことを共有しないと、別の担当者が古いコードを使い続けてログインできず混乱します。
再生成を行うべき典型シーン
バックアップコードを紛失した可能性がある
バックアップコードが漏えいした可能性がある(誤送信、誤共有、端末の写真共有等)
会社の担当者変更で、旧担当がアクセスできる状態を断つ必要がある
運用ルールを整備し直すタイミング(保管方法を変更する等)
再生成後の必須アクション
新しいコードを安全な場所に保存する
古いコードの紙やメモを破棄する(シュレッダー等も検討)
共有アカウントなら、再生成の事実と保管場所を関係者へ周知する
可能であれば、他の認証手段(パスキー、認証アプリ、セキュリティキー)も併用・見直しする
バックアップコードの安全な保管方法
推奨される保管方法の優先順位
バックアップコードは、厳密には「秘密情報」です。漏えいすると、ID・パスワードが別経路で漏れていた場合に突破される可能性がある一方、紛失すると本人が復旧できなくなる可能性があります。つまり、“盗まれない”と“なくさない”の両立が必要です。
本記事では、一般的な個人利用を前提に、現実的な推奨順位を提示いたします(組織利用は後述の運用で補強してください)。
推奨順位(個人利用の目安)
パスワードマネージャに安全に保存する
強固なマスターパスワードとロック、可能なら生体認証と併用し、他の秘密情報と同様に管理します。紙に印刷・手書きして、施錠できる場所に保管する
オフラインであることの強みがあり、端末の故障やクラウド障害に強いです。オフライン媒体(暗号化USB等)に保存する
運用できる方に限ります。紛失時のリスクがあるため、暗号化と保管ルールが重要です。
ここでの肝は、「端末だけ」「クラウドだけ」に寄せすぎないことです。緊急時はネットワークや端末が同時に使えない可能性があります。紙保管は古典的ですが、災害や事故に強い手段として今も有効です。
避けたい保存方法とその理由
次の保存方法は、事故(漏えい・紛失・最新版不一致)が起こりやすいため、慎重に判断してください。
スマホのスクリーンショットを写真フォルダに保存するだけ
写真の自動同期、共有リンク、家族アルバム、バックアップ、アプリのアクセス権などで意図せず外部へ出るリスクがあります。クラウドメモに平文で貼り付ける
メモアプリの共有設定ミス、別端末のログイン状態、アカウント侵害時に丸ごと閲覧される可能性があります。パスワードと同じ場所に一緒に保存する
攻撃者から見ると“全部入り”です。秘密情報の分離は、被害の連鎖を止める基本です。メールで自分宛てに送る
誤送信やメールアカウント侵害、端末のメール表示などで漏えいしやすくなります。
どうしても端末に保存したい場合の最低条件
端末ロック(PIN/生体)を強固にする
スクリーンショットの同期や共有設定を見直す
メモは暗号化ノートやパスワードマネージャを利用する
端末の紛失対策(リモートロック・消去、追跡機能)を有効にする
「端末のみ」にせず、紙や別経路のバックアップも併用する
家族や職場で共有が必要な場合の運用
家族や職場で共有アカウントを運用していると、バックアップコードの管理はさらに難しくなります。重要なのは「人にコードをばらまく」のではなく、「必要時に取り出せる仕組みを作る」ことです。
推奨運用(共有アカウント)
保管場所を一か所に統一する
例:権限管理されたパスワードマネージャの共有保管庫、社内金庫、施錠キャビネットなど。アクセス権限を最小限にする
本当に必要な人だけが取り出せる状態にします。取り出し記録を残す
いつ誰が使ったかが分かると、トラブル時の原因特定が速くなります。再生成のルールを明文化する
「再生成したら、旧版は破棄し、関係者へ通知する」を手順書に落とし込みます。退職・担当変更のタイミングで必ず再生成する
担当が変わるだけで、アクセス可能者が増えたり、古い紙が残ったりしやすいためです。
組織で起きやすい失敗例
担当者が個人のスマホにだけコードを保存しており、休職・退職で詰む
誰かが勝手に再生成し、他の担当者が古いコードを使ってログインできなくなる
コードがチャットに貼られてログが残り、後から見られる状態になる
共有アカウントのパスワードと同じ場所にコードも置き、侵害時に一気に突破される
これらは「手順」と「保管場所」の設計で防げます。とくに共有アカウントは、個人アカウントよりも関係者が増える分、事故率が上がる前提で設計してください。
使えないときの原因別チェックと対処
入力しても通らない
バックアップコードを入力しても通らないときは、焦って同じことを繰り返しがちです。しかし原因はある程度パターン化できます。以下のチェックを上から順に潰してください。
原因別チェックリスト
文字の打ち間違いがないか(0/O、1/I、8/Bなど)
余計な空白や改行が入っていないか(コピー&ペースト時)
入力欄が正しいか(ワンタイムコード欄ではなくバックアップコード欄)
既に使用済みのコードではないか(使い切りの場合)
別の種類のコード(回復コード、端末解除コード等)を入力していないか
順番指定があるサービスで、順序を誤っていないか
再生成後の旧コードではないか(次項へ)
対処の基本
手元のコードを落ち着いて見直し、別のコードがあれば別のものを試す
可能ならPCとスマホなど別環境で試す(入力ミスの切り分け)
ログイン試行回数の制限がある場合は、無闇に連続で試さない
どうしても通らない場合は、最短で「旧コード」か「2FA再設定後の仕様変更」を疑う
古いコードを使っている
バックアップコードが通らない原因として非常に多いのが「古いコードを使っている」問題です。バックアップコードは、再生成すると旧コードが無効になることが多く、紙やメモが残っていると誤用します。
典型的な状況
数か月前に印刷した紙を引き出しから見つけたが、それが最新ではない
認証設定を見直した際に再生成したのを忘れていた
共有アカウントで別担当が再生成していた
“バックアップコードを作った”という記憶だけがあり、実物が複数存在する
具体的な対処
ログインできる状態の端末やセッションが残っていれば、設定画面でバックアップコードを確認し、最新セットに差し替える
既にログインできないなら、他の手段(別端末の認証、SMS、サポート、アカウント復旧)を優先して、ログインを回復した後にコードを再生成する
紙が複数ある場合は、最新版以外を破棄し、保管先を統一する(“最新版だけが存在する”状態を作る)
2FAの解除や再設定後に起きること
二段階認証を解除・再設定した後は、バックアップコードの扱いが変わる場合があります。一般に、次のどれかが起こり得ます。
解除に伴い、バックアップコードが無効化される
再設定時に、新しいバックアップコードが発行され、旧版は使えなくなる
認証方式(SMS→認証アプリ等)を変更したことで、ログイン導線の選択肢が変わる
事故を防ぐ運用
2FAを解除または再設定したら、バックアップコードは「作り直し・確認が必要」と扱う
再設定の直後に、バックアップコードを発行し、保管先を更新する
共有アカウントなら、変更点(解除・再設定・再生成)を関係者に周知する
可能であれば、パスキーなど別の強固な手段の併用も検討する
ここを曖昧にすると、「あるはずのコードが通らない」状態が生まれます。バックアップコードは“保管して終わり”ではなく、認証設定の変更と常に連動して更新するものだと理解してください。
よくある質問
バックアップコードは何回使えるか
多くのサービスでは、バックアップコードは「1つのコードにつき1回のみ」利用できる設計です。使った時点で無効になるため、同じコードを繰り返し使うことはできません。
また、複数個セットで発行される場合は「残数」の概念があります。緊急時に使った後は、残数が十分かを確認し、必要なら再生成して新しいセットを確保してください。
運用の目安
1回使ったら、ログイン回復後に「残りが十分か」を確認する
残りが少ないなら、再生成して保管を更新する
共有アカウントなら、使用した事実を記録する(誰がどのタイミングで使ったか)
紛失したらどうするか
バックアップコードを紛失した場合、最初にすべきことは「今ログインできる状態が残っているか」を見極めることです。ここでの分岐が、最短復旧につながります。
ログインできる状態が残っている場合
設定画面でバックアップコードを再生成する
新しいコードを安全に保管する
古い保管物が残っていないか点検し、残っていれば破棄する
ログインできる状態が残っていない場合
SMSや別の端末など、他の追加認証手段が使えないか確認する
パスキー等が設定されている場合は、それを試す
サービスのアカウント復旧(本人確認)手続きに進む
紛失は「漏えいしている可能性もゼロではない」ため、ログイン回復後は再生成を前提に動くのが安全です。
流出したかもしれない場合の最優先対応
バックアップコードが流出した疑いがある場合、優先順位は明確です。旧コードを使えなくすることが最優先になります。多くのサービスで、バックアップコードの再生成は旧版の無効化につながるため、まず再生成を検討してください(ただし、ログイン状態が必要な場合があるため、手順は状況次第で前後します)。
緊急対応チェックリスト
可能なら即時にバックアップコードを再生成し、旧コードを無効化する
パスワードを変更する(使い回しがあれば関連するものも変更する)
ログイン履歴・端末一覧・連携アプリを確認し、不審なものを遮断する
二段階認証の手段を見直す(認証アプリ、パスキー、セキュリティキー等)
共有アカウントなら関係者へ事故共有し、運用を是正する
“やってはいけない”対応
流出の可能性があるのに、同じ保管方法を続ける
チャットに貼り直して共有し、ログを増やす
パスワードだけ変えて安心し、バックアップコードの更新をしない
漏えい事故は、単発ではなく連鎖で起きます。パスワード変更だけで止まらないことがあるため、「バックアップコードの無効化」とセットで考えてください。
まとめ
バックアップコードとは、二段階認証や多要素認証において、SMSや認証アプリなどの通常の追加認証が使えないときに備える、緊急用のログインコードです。多くの場合、事前に複数個が発行され、コードは使い切りで、再生成すると旧コードが無効になる運用が一般的です。
本記事の要点は、次の3点です。
バックアップコードは最終予備鍵であり、普段は使わない前提で管理する
保管は「盗まれない」と「なくさない」の両立が必要で、最新版のみを残す
紛失・漏えい・設定変更があったら、再生成と保管更新をセットで行う
次に取るべき行動としては、今ログインできるうちにバックアップコードを発行・確認し、保管方法(紙、保管庫、パスワードマネージャ等)を決め、パスワードと分離して管理してください。あわせて、機種変更や端末紛失のような“起こりやすい事故”を前提に、再生成後の更新ルールまで整えておくと、緊急時に慌てず復旧できます。
仕様や名称、取得数、入力導線はサービスにより差があります。認証設定を変更したときは、バックアップコードも連動して更新が必要になり得ますので、「設定変更=保管更新」という運用を徹底してください。
