パスキー+マイナンバーカード機能のスマートフォン搭載で安心安全
そうした手間もなく、フィッシングに強くてリスト型攻撃の対策にもなる認証方法がパスキーです。パスキーは生体認証を活用した認証技術で、FIDO認証と呼ばれる技術の進化版といっていいでしょう。ログイン時に指紋や顔の生体認証を使うことで2要素認証として成立するので、TOTPの入力が不要になります。そもそもパスワードすら不要になる、パスワードレスの技術です。
パスワードマネージャーのようにあらかじめ記録したURLでないと生体認証の画面が表示されないので、偽URLにログインするようなフィッシング詐欺の対策ができます。パスワードでのログインを廃止すれば、パスワード漏洩やリスト型攻撃による不正ログインも発生しなくなります。
-
恐らく世界で有数の攻撃に晒されているGoogleも、最も安全な認証方法としてパスキーを推奨しています。他にもマイクロソフトやAppleも対応しています
技術的には「スマートフォンアプリに生体認証でログインする」というのとは別物で、スマートフォンアプリ、スマートフォンのサイト、PCのブラウザ、PCのソフトウェアのいずれでも生体認証を使ったログインができます。1端末だけでしかログインできないデバイス固定パスキーと、複数デバイスでログインできる同期パスキーがあり、同期パスキーならPC/スマートフォン/タブレットといった複数端末で同じ生体認証を使ったログインも可能です。
-
日本でのFIDO認証の導入状況。ここに挙げられているもの以外に、任天堂やコナミ、国内企業ではないがXなども対応しています
海外の状況を見ると、セキュリティを重視するサービスでは「同期パスキー対応だが3台まで」のような制限を設定している例もあるようです。国内の証券会社では、今のところ正確な意味でパスキーを導入している会社はなさそうです。
SBI証券は一部FIDO認証を導入していますが、WebAuthnに対応していないようで、PCのブラウザからパスキーを使ったログインはできません。あくまで「FIDO認証」ということでしょう。
パスキーが真価を発揮するのはすべてのログインでパスキーに対応して、パスワードでのログインを禁止してパスワードレスにした状態です。この状態では、少なくともフィッシングやパスワード漏洩、リスト型攻撃による不正ログインを防止できます。
サービス提供者側にとっては、多大なコストとなっている「パスワード忘れの問い合わせ対応」もなくなります。今回のような認証情報の漏洩によるコスト負担も避けられます。何しろ今回は、5,000億円を超える被害が発生しており、大手証券/ネット証券10社の申し合わせによれば、多額の補償が発生する可能性もあります。証券各社にとっては手痛い勉強代となるはずです。
パスキー導入の当初は、パスキーの使い方や機種変更などのやり方の問い合わせが増えるでしょう。もちろん、導入コストやランニングコストも発生します。TOTPでのSMS送信も無料ではありませんが、最終的にどちらのコストの方が高いのかは会社によって異なるかもしれません。他事業でも同様のコスト比較はされていますが、たとえばパスキーを導入しているドコモは、パスワード関連の問い合わせが減ったメリットのほうが大きいと判断しているようです。
金融機関はセキュリティを気にして1台のみのログインにこだわる傾向がありますが、個人的には、PC/スマートフォンに予備のもう一台の端末を加え、3台までログインできる同期パスキーというのが利便性とのバランスも取れていると感じます。
パスキーはTOTPのように送信されるメールやSMSを待つ必要はありませんし、認証アプリのように別アプリを使う必要もありません。ログイン時に生体認証をするだけなので、簡単に、スピーディに、安全にログインできます。
いわゆるトレーダーの方などには、相場の変動で即座に売買したいというニーズがあるようです。そうした人にとってはTOTPが送られてくるのを待っていられないので、TOTPを利用する設定をしておらず、その結果として不正取引の被害を受けることになってしまったという人がいたかもしれません。そうした意味では、パスキーでは多少の通信時間が発生するとはいえ生体認証一発でログインできるため、最も高速な2要素認証を使ったログインといえます。
証券各社には早急に被害を食い止めるための対策が求められているので、すぐにできるTOTPによる2要素認証に取り組んでいるのでしょうが、最終的にはパスキーの導入を図るべきだと考えます。
6月24日からは、iPhoneにもマイナンバーカード機能が搭載される予定で、スマートフォン1つで手軽に当人認証と身元確認ができるようになります。これを併用すれば、あらかじめスマートフォン内のマイナンバーカード機能を使ってアカウントを作成し、パスキーを発行。普段はパスキーを使い、機種変更などが生じてもマイナンバーカード機能を使えば確実に本人確認してパスキーの再発行ができます。こうなれば物理的なマイナンバーカードは不要。6月末以降は、この仕組みがiPhoneでもAndroidでも使えます。
金融系でいうと、三菱UFJ銀行や住信SBIネット銀行などがFIDO認証に対応済み。証券系でもウェルスナビがFIDO認証への対応を表明しています。今後、金融機関でもパスキーが常識になり、スマートフォンに搭載されたマイナンバーカード機能と併用すれば、より安全に、より使いやすく、より素早いログインが可能になるはずです。
これを一過性のトラブルだと考えず、証券各社にはセキュリティと利便性の両立を目指して取り組みを継続させてほしいものです。
