ウェルスナビは2025年9月3日、国際規格FIDO(Fast Identity Online)に準拠した次世代認証「パスキー」を導入した。9月25日に開かれた説明会では、金融機関に求められるセキュリティ強化の背景や、パスキーの仕組み、導入後の利用状況について説明が行われた。

■金融機関に求められるセキュリティ強化の背景

ウェルスナビ PRチームでセミナー講師も務める佐藤 健氏は、登壇にあたり「なぜ今、金融機関にセキュリティ対策が求められているのか」と切り出した。

パスキー導入の背景を語る、ウェルスナビ PRチーム兼セミナー講師 佐藤 健氏

金融庁の発表によれば、2025年1月から8月にかけて証券口座の不正取引はおよそ8,000件にのぼり、被害総額は6,000億円規模に達している。パスワードを使用した多要素認証など、単一の認証情報だけに頼らない防止策は各社で導入されているが、それでも被害は拡大している。背景にあるのが「リアルタイム・フィッシング」と呼ばれる新たな手口だ。

この攻撃では、正規のWebサイトと利用者の間にフィッシングサイトが挟み込まれる。利用者が偽サイトにIDやパスワードを入力すると、それが即座に攻撃者を経由して本物のWebサイトに転送される。さらに、送られてきたワンタイムパスワードまでも偽サイトにて入力させられてしまい、結果的に「パスワード＋ワンタイムパスワード」の多要素認証であっても突破されてしまう。

佐藤氏は「リアルタイム・フィッシングの手口が増えることで、より安全性の高い多要素認証が求められている」と述べた。

同社ではこれまでも、出金先を登録口座に限定し、変更時には本人確認書類や専門スタッフによる審査を設けるなど、一定の防御策を講じてきた。しかし佐藤氏は「これだけではセキュリティ対策すべてをカバーしているとは言い切れない」と話し、こうした背景がパスキー導入へとつながった。

そのうえで佐藤氏は、利用者自身にもセキュリティ対策を呼びかけている。不審なメールのリンクを開かないこと、安全なパスワードを作成し適切に管理すること、不特定多数が利用するパソコンの使用を控えること、そしてUSBメモリ経由のウイルス感染に注意することなどを挙げ、「春以降のセミナーでも、ウェルスナビとお客様が共同でセキュリティ意識を高めていく取り組みを行なっています」と語った。

■パスキーとは?

認証基盤の開発責任者であるAssociate CTO サービス基盤グループ責任者 浦野 勝由氏は、今回導入した「パスキー」について解説した。

パスキーの仕組みを解説する、ウェルスナビ Associate CTO サービス基盤グループ責任者 浦野 勝由氏

パスキーは、パスワードを使わずにログインできる「パスワードレス認証」を実現する仕組みで、FIDOという国際規格に準拠している。利用者のスマートフォンやPCの中に「秘密鍵」が保存され、サービス側には「公開鍵」が登録される。ログイン時には両者を突き合わせる「チャレンジレスポンス認証」が行われ秘密鍵そのものが外部に出ることはない。

浦野氏は「秘密鍵はユーザ自身の端末の中だけに保存されるため、第三者への流出のリスクは著しく低い」と説明。さらに、端末側でログイン先のドメインを検証する仕組みがあるため、「正規のウェブサイト以外ではパスキーは反応せず、フィッシングサイトで認証が成立することはない」と強調した。

また、複数のサービスで同じパスワードを使い回すことができる従来方式と異なり、パスキーはサービスごとに固有の鍵が発行されるため、連鎖的な被害が広がらないのも特徴だ。

利便性の面でも大きな違いがある。利用者はパスワードを覚える必要がなく、端末の顔認証や指紋認証といった、普段ロック解除に使っている方法でそのままログインできる。浦野氏は「セキュリティと利便性を両立できるのがパスキーの大きな特徴」とまとめた。

■セキュリティ強化の歩みとパスキー導入

佐藤氏は「サービス開始当初からセキュリティを重視してきた」と振り返った。 続いて浦野氏は、同社がこれまで重ねてきたセキュリティ強化の取り組みを紹介した。

2018年8月には認証アプリを利用した多要素認証を導入した。しかし利用者からは「使いづらい」との声も多く、設定率は伸び悩んだという。一方でスマホアプリでは、端末の顔認証や指紋認証を利用してアプリを起動できる仕組みを備えており、パスワードを入力せずスムーズに利用できる点が特徴とされた。

2025年に入ってからは不正取引の増加を受け、ログイン時の多要素認証を必須化。認証アプリを利用していないユーザにはメールによる追加認証を提供することで、全利用者を対象にセキュリティを強化した。また7月からはDMARC(Domain-based Message Authentication Reporting and Conformance)を導入し、なりすましメールをブロック。送信メールにアプリと同じデザインを表示する仕組みも加え、正規の送信元を判別しやすくした。

こうした取り組みを経て、同社は2025年9月3日からパスキーの提供を開始した。導入直後から利用は広がり、翌日には登録者が1万人を超え、説明会当日の9月25日時点では7万人以上が利用している。同社の運用者数は約45万人であり、すでに6人に1人の割合でパスキーが使われている計算となる。

利用者からは「従来よりも簡単にログインできる」といった声が寄せられている。佐藤氏は「カスタマーサポート宛に、わざわざ『ログインが快適になった』という声をいただくこともある」と紹介し、導入が顧客体験の改善につながっていると語った。

ログイン画面をリリース翌日に改善するなど、スピード感を持ってサービス改善を実施している旨も紹介され、導入後も最適化を続けている点を強調した。

同社は今後も、任意のタイミングでパスキーを設定できるよう機能を拡張するとともに、出金や登録情報の変更といった重要操作に再認証を導入する計画を示している。浦野氏は「今後も小さな改善を積み重ねながら、安全で分かりやすいユーザ体験を提供していきたい」とまとめた。