この記事は、3分で読めます。
こんばんは。管理人のuncleゆーさん(@UncleYusan)です。
2025年に発覚した大規模な証券口座の乗っ取り事件では、従来のパスワードやSMSによる二要素認証では、巧妙化するフィッシング攻撃に対抗できないことが露呈しました。
フィッシング詐欺や不正アクセスから身を守るためには、「パスキー認証」が有効だと言われています。私も、利用しているサービスには、パスキー認証をできる限り利用するようにしています。
しかし、残念なことにパスキー認証に対応しているWEBサイトやアプリが少ないのが悩みの種です。
パスキー認証とは
パスキー認証は、パスワードに代わる新しい認証方式で、指紋認証や顔認証などの生体認証で本人確認を行います。
この技術は、FIDO(ファイド)アライアンスとW3C(World Wide Web Consortium)によって規格化が進められており、Google、Apple、Microsoftなどの大手IT企業も採用を推進しています。
パスキー認証は「公開鍵暗号方式」という技術に基づいています。アカウント作成時に、対となる「公開鍵」と「秘密鍵」が生成されます。
秘密鍵: 利用者のスマートフォンやパソコンなどのデバイス内に、安全な領域(TPMやセキュアエンクレーブなど)に保存されます。この秘密鍵がデバイスの外に出ることはありません。公開鍵: サービス提供者(Webサイトやアプリ)のサーバーに登録されます。
ログイン時には、サービス側から送られてくる「チャレンジ」と呼ばれるデータに対して、デバイス内の秘密鍵で署名を行います。サービス側は登録されている公開鍵を使ってその署名を検証し、正しければログインが許可されます。
この一連のプロセスは、デバイスのロック解除(指紋認証、顔認証など)を行うだけで完了します。
メリット
パスキー認証のメリットをまとめると、以下のとおりです。
- フィッシング詐欺に強い
- サーバーからの情報漏洩に強い
- 推測されにくい
- 複雑なパスワードを覚える必要がない
- 簡単なログイン
パスキーは正規のサイトでのみ機能するため、偽サイトに誘導して情報を盗もうとするフィッシング詐欺を効果的に防ぎます。
サービス側のサーバーには公開鍵しか保存されておらず、万一サーバーが攻撃されても秘密鍵は漏洩しません。
指紋認証や顔認証などの生体情報を利用するため、パスワードのように推測されたり、使い回しによって破られたりする危険性が極めて低いです。
複雑なパスワードをいくつも覚えて管理する必要がなくなります。デバイスのロックを解除するだけで、スムーズにログインできます。
パスキー認証を導入している金融機関でも
パスキー認証を最も導入すべきはずの金融機関ですが、残念ながら十分に進んでいるとは言えません。
導入しているところでもスマホアプリだけというのがほとんどで、WEBサイトへのログインはパスキー認証ではなく、IDとパスワードでログインできてしまうところがほとんどです。
WEBサイトでもパスキー認証が利用できるのは、三井住友銀行ぐらいではないでしょうか?
普及が進まない理由
パスキー認証のデメリットは、デバイスへの依存性です。つまり、パスキーは基本的に特定の端末に保存されるため、紛失・故障時にアクセスできなくなる可能性がつきまといます。
万一端末を紛失した場合、パスワードのように「忘れたら再設定」という手順が使えず、復旧には複雑な手続きが必要になります。
この点が、サービス提供側に二の足を踏ませている理由だと考えられます。
まとめ
今回の記事は、いかがでしたでしょうか。
今回は、セキュリティの強化に役立つ「パスキー認証」を紹介しました。
先日、グーグルがユーザーに対して「パスワード」ではなく、「パスキー」に変更するよう警告を出しました。
現在では、パスワードや二段階認証だけでは、セキュリティは守られないようです。
今回の記事がお役に立たのなら、うれしいです。
最後まで読んでいただきありがとうございました。
今回の記事が良ければ、ブックマークとスターをお願いします!
また、SNSでシェアして頂けると、モチベーションが上がります!
今後も役に立つ、記事を配信していきます。
Amazon Music Unlimited(音楽聴き放題)が30日間無料(通常月額1,080円)!
Amazon Music Unlimited公式サイト
Audible(聴く読書12万冊聴き放題)が30日間無料(通常月額1,500円)!
Audible公式サイト
Kindle Unlimited(電子書籍読み放題)が30日間無料(通常月額980円)!
Kindle Unlimited公式サイト
