パスキー（Passkeys）入門

Transcript

1. パスキー（Passkeys）入門 ユーザー認証の歴史と次世代の認証方式

2. アジェンダ 前半： 認証方式の課題 パスワード認証の限界 データ漏洩の実態 2段階認証・多要素認証 SMS認証の脆弱性 TOTP認証の課題 後半： パスキーの紹介

   パスキーとは？ 歴史と経緯 技術的な仕組み デバイス間同期 Q&A：誤解と真実 対応状況とメリット

3. 認証方式の課題 なぜ新しい認証技術が必要なのか？

4. パスワード認証が抱える問題 💭 人間の記憶の限界 複雑なパスワードの要求 サービスごとに異なるルール 定期的な変更要求 大量のサイトのアカウント管理 🔄 使い回しの危険性 覚えきれずに同じパスワードを使用

   「パスワードリスト攻撃」の標的に 一つ漏洩すると全アカウントが危険 💾 サーバー保管・管理の課題 サーバー側でのハッシュ化保存が必要 ハッシュ化しても漏洩するとリスクあり ブルートフォース（総当たり）攻撃のリスク 内部犯行による漏洩の可能性 🎯 攻撃手法の進化 辞書攻撃・レインボーテーブル攻撃 ソーシャルエンジニアリング・標的型メール フィッシング攻撃への脆弱性 計算能力向上による解読時間短縮

5. ユーザー情報流出の実態 主な漏洩事例 年 サービス 漏洩件数 原因・問題点 2011 PlayStation Network 7,710万件

   23日間サービス停止・CC情報含む 2012 LinkedIn 1.65億件 ソルト無SHA-1で1.17億件解読 2012 Dropbox 6,800万件 従業員パスワード使い回しが原因 2013 Yahoo! 30億件 史上最大規模・全ユーザー情報 2013 Adobe 1.53億件 パスワードヒントが平文で保存 2014 eBay 1.45億件 従業員認証情報窃取による侵入 2014 ベネッセ 3,504万件 内部犯行による顧客情報転売 2019 Canva 1.37億件 Gnosticplayersによる攻撃 2022 LastPass 全ユーザー パスワード管理ツール自体が被害 パスワードは 「いつか漏れるもの」 として扱うべき → 機械生成してパスワードマネージャーで管理するのが現状のベストプラクティス

6. 2段階認証 と 多要素認証 パスワード認証を補完して、より強固にする 2段階認証 (2FA) 認証を2回行う ユーザー パスワード 秘密の質問

   ログイン 例：パスワード + 秘密の質問 （両方とも「知識要素」） 多要素認証 (MFA) (2要素認証) 異なる要素 を組み合わせて認証する ユーザー パスワード SMS/TOTP ログイン 例：パスワード + SMS認証 （知識要素 + 所持要素） ※ こちらも広義では「2段階認証」

7. 認証の3要素 🧠 知識情報 Something you know パスワード PIN 秘密の質問 📱

   所持情報 Something you have スマートフォン ICカード トークン 👤 生体情報 Something you are 指紋 顔認証 虹彩認証 💡 多要素認証 = これらを2つ以上組み合わせることでセキュリティを向上

8. SMS認証の脆弱性 所持情報の代表であるSMS認証だが、セキュリティ上の落とし穴があり、採用は減少傾向 1. ロック画面へのコード表示 ロックされたスマホでも認証コードが通知表示される場合がある 2. SIMスワップ攻撃 ターゲットの個人情報を入手し、携帯電話会社を騙してSIMを再発行し、スマホを乗っ取る手口 3. SMSの傍受

   SMSは暗号化されておらず、傍受される可能性がある 4. SS7プロトコルの脆弱性 通信事業者間の通信プロトコルの脆弱性を悪用した傍受や改ざん 5. リアルタイムフィッシング SMS送信代行事業者による内部犯行 「メール認証」も同様に脆弱です

9. TOTP（Time-based One-Time Password） SMS認証より安全 （Google Authenticatorなど） ✅ メリット オフラインで動作 インターネット接続不要

   圏外でも認証可能 通信傍受のリスクなし ネットワーク経由での盗聴不可 SIMスワップ攻撃を受けない 携帯電話会社への攻撃が無効 ❌ デメリット 初期設定が面倒 QRコード読み取りやシークレットキー入力 機種変更時の移行が複雑 サービスごとに再設定が必要 QRコードの管理が必要 紛失すると再設定が困難 フィッシングには無力 偽サイトでもコードを入力してしまう 認証アプリの管理 アプリのインストールや更新が必要

10. パスキー（Passkeys） これらの問題を解決する新技術

11. パスキーとは？ デバイスの所有者が、デバイス内に保存された鍵を使って、ウェブサイトやアプリにログインできる 特徴 パスワード不要 覚える必要なし、入力する必要なし フィッシング完全耐性 ドメインごとに異なる鍵を使うので、偽サイトでは使えない 簡単な操作 指紋認証や顔認証するだけでログイン QRコードで他人のデバイスでも自分のアカウントにログインできる

12. パスキーの歴史 2012 2014 2018 2022 2023 🌟 2022年がターニングポイント： プラットフォーマー3社が足並みを揃えた

13. 公開鍵暗号方式の基礎 基本的な仕組み 鍵ペア生成 秘密鍵 公開鍵 デバイス内に保管 サーバーに送信 秘密鍵：絶対に外に出さない 公開鍵：公開しても安全 パスワードとの違い

    項目 パスワード パスキー サーバー保存 ハッシュ値 公開鍵のみ 漏洩リスク 高い なし 使い回し できる できない 記憶 必要 不要 💡 サーバーが攻撃されても 　 秘密鍵は盗まれない！

14. パスキーの登録フロー サーバー ブラウザ デバイス ユーザー サーバー ブラウザ デバイス ユーザー 秘密鍵保存

    秘密鍵は流出しない アカウント作成 パスキー要求 生体認証 👆 鍵ペア生成 公開鍵 公開鍵送信 保存 完了✅ 1. サーバーからパスキーが要求される 2. ユーザーが生体認証を行う 3. デバイスは鍵ペアを生成し、秘密鍵を保存する 4. 公開鍵はサーバーに送信され、保存される 5. サーバーはユーザーに完了を通知する 秘密鍵がデバイスから出ることはありません

15. パスキーの認証フロー

16. デバイス間同期の仕組み ☁️ iCloud Keychain Apple デバイス間 🔐 Google Password Manager

    Android/Chrome間 🗝️ サードパーティ 1Password, Bitwarden等 同期の安全性 エンドツーエンド暗号化で保護 マスターパスワードや生体認証で二重保護 デバイス認証が必要（信頼済みデバイス）

17. ❓ Q&A パスキーの誤解と真実

18. Q1: パスキーは複数作れますか？ 👉 はい、何個でも作れます 利用シーン 個人のスマホ用 会社のPC用 家族共用のタブレット用 バックアップ用 管理方法

    サービス側で一覧表示 名前を付けて識別 不要になったら個別削除 最終利用日時も確認可能 💡 ヒント： パスワードと違い、複数作ってもセキュリティリスクは増えません

19. Q2: スマホでしか使えない？ 👉 いいえ、PCでも使えます デスクトップでの認証方法 1. Windows Hello - 顔認証、指紋認証、PIN

    2. Touch ID - MacBookの指紋認証 3. セキュリティキー - YubiKey等のUSBデバイス 4. QRコード連携 - スマホで認証 生体認証がなくても PINやパターンで代替可能 クロスデバイス認証 PCでQRコード表示 → スマホで認証読み取り

20. Q3: パスワードは完全に不要？ 👉 現時点では完全廃止は難しい 残る理由 アカウント復旧 全デバイスを紛失した場合 クラウド同期の不具合 互換性 古いデバイス・ブラウザ、企業の社内システム

    移行期間 ユーザー教育が必要 段階的な導入 将来の展望 現在 移行期 パスキー主流 パスワード廃止 予想される流れ： 1. パスキー優先（現在） 2. パスワードは補助的に 3. 最終的に完全廃止へ 現在推奨される運用 強力なパスワードを設定して補助的に利用

21. Q4: 生体認証が必須？ 👉 いいえ、PINやパターンでもOK 利用可能な認証方法 生体認証 指紋 顔認証 虹彩（一部デバイス） 知識認証

    PIN（4-6桁の数字） パターン（Android） システムパスワード 重要なポイント ローカル認証 どの方法を選んでも、認証は デバイス内で完結します プライバシー保護 生体情報はサーバーに送信されない ので安心して使えます

22. Q6: パスワードマネージャーから漏洩したら？ 👉 生体認証など追加認証が必要なのでリスクは限定的 もし漏洩した場合 暗号化された秘密鍵が流出 しかし、そのままでは使用不可能： 秘密鍵は暗号化されて保存されている 復号には生体認証やPINが必要 攻撃者は被害者のデバイスが必要

    多層防御の仕組み 暗号化保存： 秘密鍵が暗号化されて保存 復号に認証必要： 生体認証やPINで復号 デバイス依存： 正規デバイスでのみ復号可能 パスワードとの比較 項目 パスワード パスキー 漏洩時 即座に悪用可能 暗号化で保護 復号・利用 不要 認証必須 リスク 非常に高い 限定的 💡 重要： 秘密鍵は「盗まれても暗号化されており、正 規デバイス+認証なしでは復号できない」設計

23. パスキーのメリット・デメリット ✅ メリット セキュリティ フィッシング完全耐性 パスワード漏洩リスクゼロ 総当たり攻撃不可能 多要素認証が標準 利便性 ワンタップでログイン

    覚える必要なし デバイス間で同期 世界中どこでも利用可 ❌ デメリット 技術的制約 デバイス依存 対応デバイスが必要 初期設定が必要 技術に詳しくない人には難しい場合も 普及の課題 企業システムの対応 レガシーシステムとの互換性 ユーザー教育 新しい概念の理解が必要

24. 主要サービスの対応状況 着実に普及が進んでいます グローバル Google - 2022年10月 PayPal - 2022年10月 Apple

    - 2022年9月（iOS 16） Microsoft - 2022年9月 Adobe - 2023年5月 GitHub - 2023年7月 TikTok - 2023年7月 1Password - 2023年9月 Amazon - 2023年10月 国内 メルカリ - 2023年1月 Yahoo! JAPAN - 2023年3月 NTTドコモ - 2023年4月（dアカウント） マネーフォワード - 2023年4月 任天堂 - 2023年10月（ニンテンドーアカウント） 楽天 - 2024年2月（楽天ID） ソニー - 2024年2月（PlayStation Network） LINE - 2024年6月（LINE ID）

25. まとめ 🎯 パスキーが解決すること ✅ パスワードの問題 → 覚える必要なし ✅ フィッシング →

    ドメインごとに異なる鍵 ✅ データ漏洩 → 秘密鍵はサーバーに保存しない ✅ SMS認証の脆弱性 → ローカル認証で完結 ✅ 利便性 → 生体認証でワンタップ パスキーは「安全性」と「利便性」を両立する 次世代の認証技術です