- 目次
オンラインサービスにおける不正ログイン脅威の広がり
デジタル化の進展により、インターネットを通じた商品購入、銀行口座管理、旅行予約など、多様で便利なオンラインサービスが展開されています。一方、フィッシング攻撃により利用者がなりすましを受け、被害を受ける事象が急増しています。例えば、金融庁の発表では令和5年2月以降、フィッシングによるものとみられるインターネットバンキング預金の不正送金被害の急激な増加が報告されています(※2)。また、ここ数か月間でもフィッシングによる被害が度々ニュースとなっており、身に覚えのない取引を実行されるなど多額の金銭的被害が報告されています(※3)(※4)(※5)。
従来のフィッシング攻撃は、フィッシングサイト上でID/パスワードを収集した後、収集したID/パスワードを用いてサービスに不正ログインするものでした。しかし近年では、リアルタイム型フィッシング攻撃と呼ばれる手口が登場しており、サービスが2段階認証に対応しているからといって対処が出来ているとは言えなくなってきています。リアルタイム型フィッシング攻撃は、フィッシングサイトを通じて被害者が入力した認証用の情報をリアルタイムに盗み取り、即時利用する手口です。攻撃者により搾取された情報が即時利用されるため、ID/パスワード認証だけでなく、SMS認証や音声認証などの2段階認証も突破されてしまいます。 このようなフィッシング攻撃に対して利用者が取れる対策としては利用者自身がフィッシングサイトと正規サイトとを見分けることとなりますが、精巧に偽造されたフィッシングサイトと正規サイトとを見分けることは容易ではありません。そこで、注目を浴びている認証技術に、FIDO認証方式(パスキーによるログイン)があります。
https://www3.nhk.or.jp/lnews/yamagata/20250312/6020023438.html
https://www3.nhk.or.jp/news/html/20250321/k10014756511000.html
FIDO認証方式(パスキーによるログイン)とは
まずは、FIDO認証の仕組みについて説明します。
FIDO認証は、FIDO Alliance(※6)により策定/標準化が推進されているオンライン認証の処理方式です。
FIDO認証における処理は登録(パスキーのアカウントへの紐づけ)と認証(パスキーによるログイン)の2つのフェーズに分かれます。ここでパスキーとは、FIDO認証における登録フェーズ処理の結果として、利用者端末内で生成・保持される秘密鍵及びメタ情報(鍵の識別子情報や当該パスキーの利用対象となるサーバのドメイン情報など)のことを指します。パスキーはサービスを利用するサイトやサイト上のアカウント毎に利用者端末(認証器)内で生成・保持されます。
登録フェーズ(図1)では、オンラインサービスの認証サーバがパスキー登録のリクエストを、利用者のアカウントを認証済の状態で送信します。登録リクエストを受け取った利用者端末(認証器)は、利用者を端末上でローカルに認証し(顔認証やPIN認証)、公開鍵・秘密鍵ペアを生成した後、認証サーバのドメインなどに紐づける形で端末内に保持し、登録リクエストに対する応答として認証サーバに公開鍵や鍵識別子を送付します。認証サーバ側は応答内容を検証し、利用者アカウントに紐づけて公開鍵や鍵識別子を管理します。
図1:パスキーの登録処理
登録フェーズ完了後の認証フェーズ(図2)では、認証サーバがパスキーによる認証リクエストを送信します。パスキーによる認証リクエストを受けた利用者端末(認証器)は登録時同様、ローカル認証で利用者を確認し、秘密鍵で署名したデータを鍵識別子とともに認証サーバに返却します。認証サーバは、登録時にアカウントに紐づけた公開鍵による応答データの署名検証などを行い、結果が正しければ認証処理を終了します。
図2:パスキーでの認証処理
FIDO認証方式を利用することで、利用者は自身のスマートフォン上の認証(例えば顔認証)を行うだけで、ID/パスワードなどを入力することなく、オンラインサービスにログインすることができます。
パスキーによるログイン機能を導入することのメリット
セキュリティ面で大きなメリットとなるのは、パスワード認証機構に対する不正ログインの代表的な手口であるパスワードリスト型攻撃の他、先に述べたフィッシング攻撃に対しても耐性がある点です(※7)。利用者がリアルタイム型フィッシングサイトに誘導され、攻撃者により利用者端末と認証サーバ間で通信内容の不正取得・改ざんが行われたとしても、認証用のパスキーそのものを認証サーバに送信している訳ではなくフィッシングサイトがパスキーを直接手に入れることはできないこと、直接接続しているサーバのドメインに紐づくパスキーしか利用しないよう利用者端末側で制御していること、さらに利用者端末が認証サーバ自身に紐づくパスキーを利用しているかどうかを認証サーバ側でも検証していることにより、フィッシングによる不正ログインが成功しない仕組みとなっています(図3)。
図3:パスキーログインのフィッシング攻撃耐性
利用者の利便性向上という点でもメリットがあります。
先に述べた通り、利用者は専用の指紋認証装置などを用意することなく、自身のスマートフォン上の生体認証などで簡単かつ安全にオンラインサービスにログインできます。
さらに、利用者が一度パスキーを登録すれば複数の端末で同じパスキーを利用してログインできる仕組み(同期パスキー)も提供されています。
これは、図4のようにGoogle、Appleなどの提供するクラウドサービスを介して複数端末間でパスキーを同期することにより実現されており、利用者は同じAppleアカウントやGoogleアカウントを複数の端末に設定することで、1つの端末で登録したパスキーを複数端末間で共有することができます。この仕組みにより利用者が機種変更を行った場合などにも、利用者に再度パスキーを登録させることなく継続してパスキーによるログインを提供することができます。
同期パスキーについては、複数のクラウドサービスプロバイダ間を跨った同期ができないなどの課題がまだありますが、Microsoft社も将来的な同期パスキーへの対応を表明しており(※8)、今後機能として発展していくものと想定されます。
図4:クラウドサービスを介したパスキーの同期
https://www.passkeycentral.org/introduction-to-passkeys/passkey-security#phishing-resistance
パスキーによるログイン機能を導入する上での留意点
ここまでパスキーによるログイン機能の導入によるメリットについて述べましたが、導入する上での留意点としていくつかの課題が想定されます。
1つ目は、既にいくらかのサービスでパスキーログインの提供が開始されているなど、利用者側の認知が進んでいる(※9)一方で、すべての利用者がパスキーに慣れ親しんでいる訳ではないという点です。
パスキーログイン機能の提供にあたっては、利用者向けガイダンスの公開や利用状況を元にした定期的なガイダンス修正など、利用者の支援について手厚く対応を行っていく必要があると考えられます。
2つ目は、同期パスキーの利用者に向け、クラウドサービス上のアカウント保護について注意喚起が必要な点です。仕組み上、同期パスキーのサービスを提供するクラウドサービスベンダ(AppleやGoogleなどの他、3rd Partyのパスワードマネージャー製品)のアカウントが侵害された場合、パスキーが勝手に利用され自社サービスに対してもパスキーで不正ログインされることにつながりかねません。
例えば、クラウドサービス側のアカウントを強力なパスワードや二要素認証で保護しておくこと、不正ログインを受けていないか定期的に確認すること、端末を手放す際のアカウント設定の初期化など、必要な対応を利用者に注意喚起することが必要となります。
まとめ
オンラインサービスにおけるフィッシング攻撃の脅威とパスキーについて紹介しました。
パスキーによるログイン機能の導入により、セキュリティを向上させるだけではなく、生体認証によるログイン操作を簡単にできるなど利用者の利便性向上を図ることができます。一方、パスキーによるログイン機能の提供にあたっては利用者に対する十分なサポートなどの配慮が必要と考えられます。
NTT DATAでは引き続き最新動向をキャッチアップし、ノウハウを蓄積・公開していきます。
