銀行、健康保険、さらにはメールにログインする場合でも、いまどき多くのサービスはパスワードだけでは成り立っていません。現在では一般的になった多要素認証(MFA)は、ユーザーに2つ目、あるいは3つ目の本人確認要素の入力を求めます。しかし、すべてのMFAが同じように作られているわけではなく、組織があなたの電話に送るワンタイムパスワードには、トラックが通れるほど大きな穴が空いています。
たとえばメールセキュリティ企業のAbornormal AIは、攻撃者が被害者をフィッシングサイトに誘導し、ユーザー名とパスワードだけでなく、学校のサーバーから送信されたワンタイムパスワード(OTP)まで入力させることに成功した最近の一連の事案を学術機関で確認しています。
誰かの正規のアカウント資格情報を使うことは、セキュリティホールを探して悪用するよりも、犯罪者にとってはるかに効果的な手段です。Microsoftの最新のDigital Defense Reportでは、アイデンティティが最も重要な攻撃ベクターであるとしています。
いかなる種類であれMFAを使うことが、アイデンティティ攻撃を防ぐ主な方法ですが、本当に求められるのはフィッシングに耐えうる手段です。
「フィッシング耐性のあるMFAこそがセキュリティのゴールドスタンダードです」とMicrosoftの脅威インテリジェンスチームは述べています。「サイバー脅威の状況がどれだけ変化しようとも、多要素認証は依然として不正アクセスの99パーセント以上をブロックしており、組織が導入できる単一で最も重要なセキュリティ対策となっています。」
パスキーの台頭
MFAの方式は一般的に3つのカテゴリに分類されます。知っているもの(パスワード、コード、秘密の質問など)、持っているもの(トークンやスマートフォンなど)、そして本人そのもの(指紋や顔認証など)です。これには、ハードウェアトークン、認証アプリ、SMSやメールで送信されるパスコード、接続されたデバイスにログイン承認を送るプッシュ通知、そして身体的特徴を使って本人確認を行うバイオメトリクスが含まれます。
歴史的に見ると、認証は「知っているもの」モデルを用いてきました。ここでは、ユーザーとサーバー、あるいは2つのデバイスといった2者が、パスワードやコードといった秘密を双方が知っていることで本人性を証明します。問題は、誰かがその秘密を推測できてしまうこと、あるいはあなたがそれを付箋に書いていたり、デスクトップ上のプレーンテキストファイルに保存しているかもしれないことです。
犯罪者はまた、偽サイトを使ってユーザーにユーザー名とパスワードの入力を促すことで、こうした秘密をフィッシングすることができますし、SMSやメールで送信されるワンタイムパスワード(OTP)についても、メッセージが本来の受信者に届く前に転送させることで傍受できます。
「そこでいま見られる動きのひとつが、パスワードからパスキーへの全面的な移行です。これは、使いやすさという包装紙に包まれた証明書ベースの認証です」とForresterのバイスプレジデント兼アナリストのAndras Cser氏はThe Registerに語りました。
パスキーは、セキュリティ関係者が「フィッシング耐性のあるMFA」と言うときに通常指しているものです。パスキーはパスワードを置き換え、代わりに公開鍵をサーバーに、秘密鍵(ユーザーの顔、指紋、PINなど)をユーザーのデバイスに保存する暗号鍵ペアを使用します。
Amazon、Google、Microsoft、Apple iCloud、PayPal、WhatsAppを含む多数の大手ウェブサイトは、すでにパスキーをパスワードの完全な代替手段として実装しています。
セキュリティキー(Yubikeyなどのブランド名で知られることが多い)は、X.509証明書を保存する物理的なハードウェアデバイスであり、これもフィッシング耐性のあるMFAのカテゴリに入ります。ユーザーがアカウントやサービスに認証するには物理的な存在が必要になるためです。
「現時点で最も安全な認証タイプは、フィッシング耐性のあるMFAに分類されるもので、デバイスに紐づいたパスキー、あるいはそれほど一般的ではありませんがX.509トークンです」とGartnerのアナリストJames Hoover氏はThe Registerに語りました。「デバイスに紐づいたFIDO2キーについては、秘密鍵自体がデバイスから出ることがないため、それを『盗む』ことができると証明された手法は現在のところ存在しません。」
「パスキーでは、この共有シークレットモデルを完全に破壊してしまうので、共有できるもの自体が存在しなくなるのです」とFIDO AllianceのCEO兼エグゼクティブディレクターのAndrew Shikiar氏はThe Registerに語りました。
パスキーでは、この共有シークレットモデルを完全に破壊してしまうので、共有できるもの自体が存在しなくなるのです
さらに、マルチデバイスパスキーというものもあります。これは、Google Password Manager、iCloudキーチェーン、オープンソースのBitwardenといった認証情報マネージャーに保存され、ユーザーが自分のどのデバイスからでもアプリにログインできるようにする同期済みの認証情報です。しかし、これらはソーシャルエンジニアリング攻撃に対しては脆弱です。
「これは各デバイスを再登録しなければならないという不便さを解消しますが、一方である種のソーシャルエンジニアリングにさらされる可能性も生まれます。なぜなら、あなたを説得して私のデバイスをあなたのアカウントに参加させることで、そのキーにアクセスできてしまうからです」とHoover氏は述べました。
同氏が言及しているのは、フィッシングではなくScattered-Spider型のソーシャルエンジニアリング攻撃です。ここでは攻撃者は通常、ソーシャルメディアやその他の公開情報源から従業員に関する情報を集め、それをもとにその従業員になりすまして企業のITヘルプデスクに電話をかけ、最終的にヘルプデスクを騙して認証情報やMFAデバイスをリセットさせます。
「とはいえ、これらは依然として、より一般的に使われているパスワード+SMSまたはメールOTP方式よりも大きな前進を意味します」とHoover氏は付け加えました。
パスキー導入は急速に進んでいる
FIDO(Fast Identity Online)アライアンスは2012年に設立されました。これは、強力な認証技術間の相互運用性の欠如に対処し、ウェブサイトやサービスごとにあまりにも多くのユーザー名とパスワードを覚えなければならないというユーザーの問題を解決するためです。Apple、Google、Microsoftといった初期のFIDOアライアンスメンバーは、2019年にパスワードレス認証のためのFIDO2およびWebAuthn標準の開発を開始し、一般ユーザーがパスキーを初めて目にしたのは2022年9月、AppleがiPhone、iPad、MacのOSでパスキーのサポートを開始したときでした。
それから3年後、「現在使用されているパスキーは20億個を超えると推定しています」とShikiar氏は述べました。
「これは素晴らしい数字であり、意味のある規模です。私たちとしては、これを50億から100億の規模にまで伸ばしたいと考えています。そこまで行けば、もはや後戻りできない臨界点を超えるでしょう」と同氏は続けました。「しかし、広く利用可能になってからおよそ3年で20億という数字については、その進捗にかなり満足しています。」
デジタルアイデンティティに特化したアドバイザリーファームであるLiminalは、すでにパスキーを導入した、あるいは導入を約束している200人のITプロフェッショナルを対象に調査を実施しました。その結果、回答者の63パーセントが、2026年における認証関連投資の最優先事項としてパスキーを挙げました。すでにパスキーを採用している企業のうち、85パーセントが、その決定とこれまでに得られたビジネス成果に強い満足を示しました。
パスキーのビジネス上の利点を掘り下げるため、両社は、1~3年にわたりパスキーを導入している9つの加盟組織(Amazon、Google、LY Corporation、Mercari、Microsoft、NTTドコモ、PayPal、Target、TikTok)を対象に、機密扱いの調査[PDF]を実施しました。
これらの企業は、他のMFA方式と比べてサインイン成功率が30パーセント高く、パスキーはサインイン時間を73パーセント短縮し、1回のログインに平均8.5秒しかかからないと報告しました。
メール認証、SMSコード、「Appleでサインイン」「Googleでサインイン」などのソーシャルログインオプションといった他の認証方式では、平均31.2秒かかっていました。
「もしあなたがモノやコンテンツを販売するビジネスをしているなら、より簡単で高速なアクセスは売上増加につながります」とShikiar氏は述べ、パスキーの使いやすさが、チェックアウトにかかる時間にイライラした消費者によるショッピングカート放棄を減らすのに役立つと指摘しました。
「さらに、先行導入企業はコスト削減も実感しています」と同氏は述べました。
先行導入企業によれば、パスキーはヘルプデスクへの問い合わせを減らし、サインイン関連のヘルプデスクインシデントが最大81パーセント減少したと報告されています。金額換算はされていないものの、パスキーを利用する企業は、OTP、リセット、サポート対応にかかるコストが減ることで、コスト削減が見込めるとしています。
さらに、パスキーはSMSやOTP詐欺に関連するコストも排除するとShikiar氏は述べています。「アカウントがリモート攻撃によって乗っ取られなくなれば、攻撃件数は減り、詐欺コストも下がります。」
使い勝手の問題は依然として残る
では、なぜ誰もがパスキーを使っているわけではないのでしょうか。特に、あるOS(iOS、Android、Windowsなど)のデバイスに紐づいたパスキーについては、依然として使い勝手の問題が残っています。こうしたパスキーを別のOSエコシステムに移行するには、通常サードパーティツールが必要になります。
「そして常に、セキュリティと導入のしやすさの間にはトレードオフが存在します」と、PwCで米国のサイバー・データ・テックリスク事業を統括するAvinash Rajeev氏はThe Registerに語りました。
「従業員や契約社員といった社内ユースケースでは、通常セキュリティが最重要であり、社内の人たちに対しては最高のユーザーエクスペリエンスを提供できなくても何とかやっていけます」と同氏は言います。「しかし、顧客向けの外部側を見ると、ユーザーエクスペリエンスを優先しなければならず、時にはそれがセキュリティの犠牲を伴うこともあります。最終的には、適切なバランスを見つけることに尽きるのです。」
SMSやメールのパスコードはパスキーほど安全ではありませんが、多くの顧客向けウェブサイトが依然としてこれらを使っているのは、実装と理解が容易だからです。顧客はすでにメールアドレスを持っており、セキュリティトークンを受け取るまで数秒余分に待つことを気にしなければ、プロセスは簡単です。さらに、パスワードだけを使うよりは依然として安全です。
「常に両方の要素の組み合わせなのです」とRajeev氏は言います。「何を守ろうとしているのか、どのレベルのセキュリティを受け入れるつもりなのかを常に考えつつ、ユーザーエクスペリエンスがユーザー層にとって十分に許容できる水準に保たれていることを確認しなければなりません。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/06/multifactor_authentication_passkeys/
