Constella Intelligenceはこのほど、「The Industry’s Passkey Pivot Ignores a Deeper Threat: Device-Level Infections - Security Boulevard」において、パスキーの普及とその限界について発表した。

Google、Apple、Microsoftなど大手企業がパスキーを導入し、英国政府や大手保険会社がサービスに採用しており、FIDOアライアンスの報告によれば、世界上位100サイトのうち48%がすでにパスキーをサポートし、多数の組織が採用を公約しているという。しかし、認証強化の進展にもかかわらず、デバイス感染によるリスクが依然として深刻であると警告している。

  • The Industry’s Passkey Pivot Ignores a Deeper Threat: Device-Level Infections - Security Boulevard

    The Industry’s Passkey Pivot Ignores a Deeper Threat: Device-Level Infections - Security Boulevard

パスキーの効力とその限界

インフォスティーラーと呼ばれるマルウェアは、システム侵入の複雑な手順を経ることなく、Webブラウザに保存された認証情報やセッションクッキーを奪取する仕組みを持つ。これにより攻撃者はパスキーやパスワードを必要とせず、すでに認証されたセッションをそのまま乗っ取ることが可能になる。実際、この手法は検知を免れやすく、パスキー導入後の環境においても有効であるとされる。

一方、データの危機も拡大している。同社の「2025 Identity Breach Report」によれば、数千万件規模のインフォスティーラーログが闇市場で流通しており、その中には経営層や開発者のアカウントにひもづく情報も含まれていたという。LummaやRaccoon v2、RedLineといったマルウェアはサービス化されており、専門的なスキルを持たない攻撃者でも容易に利用できる。

パスキーはフィッシング対策や利用者負担の軽減に有効だが、エンドポイントが汚染されている場合には無力だ。ローカルストレージやファイルシステムにアクセス可能なマルウェアが存在する以上、攻撃者はセッショントークンを再利用することで認証を回避できる。この状況は、今後のアイデンティティ攻撃の方向性を示している。

認証から露出把握への転換

組織がとるべき対応は、単なる認証層の強化ではなく、ログイン後のアイデンティティ露出の把握だ。外部市場に流出する認証情報の監視、エンドポイント保護の徹底、セッショントークンの短命化、そしてコンテキストを踏まえたリスク評価が求められる。とりわけ、どの個人や役職が脅威にさらされているかを識別することが防御の核心となる。

Constella Intelligenceは結論として、パスキーは出発点に過ぎず、真の課題はすでに侵害されているセッションを誰が握っているかにかかっていると強調している。