先月(2025年3月)頃から、証券会社のオンラインサービスに不正アクセスをされたという報道が目立つようになりました。
参考ニュース
https://www3.nhk.or.jp/news/html/20250406/k10014771571000.html
私も他人事ではないなと思い、お金に関連するサービス(証券会社や銀行、ネットショッピング等)のセキュリティを改めて見直してみました。
そんな中、最近はパスキーやFIDO等のデバイスの生体認証を使ったログインに対応しているサービスも増えてきたので、使い勝手を確かめるため導入してみることにしました。
何それ?
従来のパスワードに代わる認証の方式として、サービスごとに自動生成される暗号鍵を使ってログインをする方式です。
スマホなら顔認証、指紋認証などの生体認証の他、端末のパスコードなど、要は端末のロックを解除する方法を様々なサービスのログイン認証にも使おうという発想です。
端末のOSとサービス側の両方が対応している必要があり、2022年頃から大手サービスを中心に対応が進んでいるもののまだ一般的とまでは言えないと思います。
対応していれば、パスキーを作成することで普段の端末ロック解除に近い感覚でサービスにログインすることができ、別途パスワードを覚えたりする必要もありません。
仕組み上正規のサービス以外にログインできないため、フィッシング耐性があります。
秘密鍵データはパスキー登録をした端末に保存されますが、通常はユーザーに直接見えないように設計されているようで、漏洩に対しても強いようです。
このことから、従来のパスワード方式より優れた認証方式だと言われています。
世のサービスの現状
冒頭で「パスキーやFIDO」と書きましたが、パスキーはFIDOアライアンスという団体が定めた認証技術です。
では何でこんな書き方をしたかと言うと、現状パスキーに対応したサービスもあれば「FIDO準拠を謳いつつ独自に実装したと思われる」方式も多く提供されているからです。
パスキー自体は決まった規格なので、OSとサービスが対応していれば同じ使い勝手で使うことができます。
私はiPhoneを使用していますが、対応サービスにログインしようとするとiOSからFace IDの認証が求められるので、それをクリアすればログインできます。
しかしながら似たようなログイン方式でありながら独自の方式というのが、現状多い印象を受けました。(サービス名は出しませんが大手の金融機関等)
ややこしいのは各社がそのログイン方式に独自の名前をつけていること、そしてその使い勝手に微妙な差異があることです。
パスキーの場合、手持ちのスマホに秘密鍵を作成し、PCからのログインの際にスマホの生体認証でログインするということも可能です。
PCのブラウザからサービスにログインする場合はPCに表示されるQRコードをスマホで読み取るとパスキー認証に移行できるような仕組みとなっています。
パスキーであればその操作感は統一されており、iOSであればカメラアプリでQRコードを読み取ればそのまま生体認証にスムーズに移行できます。
ただ独自方式の場合必ずしもそうではなく、某金融機関の「FIDO準拠方式」ではPCからのログイン時にQRコードを表示するところまでは同じですが、それを読み取るとその金融機関のアプリが立ち上がり、アプリ内で生体認証をして・・・と一手、二手操作が多くなっています。
似ているようで、微妙に違う操作感というのが僅かにストレスがありますし、分かりづらいと感じます。
一方で、パスキーであっても現時点ではどうもサービスによる微妙な仕様の違い、特に従来のパスワード周りの挙動が違うような印象があります。
パスキーを設定しても従来のパスワードでもログインできるサービスもあれば、必ずパスキーによる認証が必要なサービスもあるようで、このあたりは規格で決まっているわけではなくサービス側に委ねられている部分なのかもしれません。
今後に期待すること
今のところパスキー(と類似サービス)を導入して大きな問題は発生していません。
場合によっては少し手間が増えてしまうことは否めませんが、不正アクセスの話題を目にしない日が無いような昨今、新しい技術を取り入れた対策はもはや必須なのかなと思います。
今後もサービス側が対応されれば取り入れていくつもりです。
ただ、現状はやはり過渡期であるからなのか、サービスにより名称や操作感が異なるなど、混乱する部分がありました。
例えばあるサービスのヘルプページではパスキーを「生体認証とも呼ばれます」と説明していましたが、パスコードでも構わないことを思うと、正確な表現ではないと感じました。
もちろんサービス側もそれを分かったうえで、一般ユーザーに伝わりやすい説明をしているのでしょうが、やはり混乱する人もいるのではないかと思います。
慣れてしまえば顔認証や指紋認証でログインできるのは便利ですし、ログイン情報の管理も楽(iOSであれば自動的に端末とクラウドに鍵が保存される)ではあるのですが、やはり運用がこれまでのパスワードとは大きく異なるため、もっと仕様がシンプルに整理されていく必要があると感じています。
特に金融関連の重要なサービスは慣れていない人だとログイン自体に問題が発生することも十分考えられ、今後普及していく上での課題の1つになるかもしれません。