導入広がる「パスキー」仕組みと注意点NHK2025年12月3日午後1時51分
導入広がる「パスキー」仕組みと注意点
証券口座への不正アクセスなど、インターネットサービスの不正利用が相次いでいることから、パスワードを使わずにログインできる「パスキー」という認証方法を導入する企業が増えています。仕組みと注意点について解説します。
みみより!解説 導入広がる「パスキー」仕組みと注意点
初回放送日 12月1日(月)午後0:20
配信期限 12月8日(月)午後0:28
Q.パスキーは、私も使っていますが、見かけるけど使っていないという人もいるかもしれませんね。
A.このパスキーという認証方法は、スマートフォンで指紋認証や顔認証をすることでネットサービスが利用できるというものです。ITサービス、ネットショッピング、銀行、証券、カード会社など、利用者の多いネットサービスで導入済みです。今年に入ってから利用できるサイトが増えていまして、今後導入する予定というネットサービスもあります。
Q.いろいろなサイトで使えるのですね。
A.これまで、ネット証券などのネットサービスを利用する際、IDとパスワードを画面に入力する必要がありました。パスキーを使いたい場合、最初に「今後はパスキーを利用する」というボタンを押せば準備完了です。次からは、「パスキーでログインする」という画面のボタンを押すか、IDだけを入力すれば、スマートフォンに顔認証や指紋認証をしてくださいという画面が現れ、それに従って操作すればログインができます。パスワードを入れる必要はありません。
Q.実際に使うと簡単ですよね。
A.簡単に利用できるというのは大きなメリットです。ただ、この方法が広まった背景は、不正アクセスを防ぐという安全面の強化です。特に最近は、フィッシングという手口が流行しています。金融機関などをかたる偽の電子メールを通じて、偽のホームページに誘導し、そこにID、パスワードを入力させてだまし取るという犯罪です。中でも、今年に入ってから、だまし取ったパスワードで証券口座に不正アクセスする被害が相次ぎました。金融庁のまとめでは、ことし1月から10月までの被害額は7100億円を超えています。
Q.この問題については、二段階認証という、ワンタイムパスワードを使う対策で防ごうということだったと思いますが、それでは不十分なのですか。
A.そのとおりです。実は、二段階認証を破る「リアルタイムフィッシング」という手口が確認されました。二段階認証は、パスワードを入力した後、メールなどで届いたワンタイムパスワードも入力しないとログインできない対策ですが、それを破る手口です。犯罪グループは、偽のホームページに、IDとパスワードを入力させます。その後、利用者に届いたワンタイムパスワードも入力するような偽の画面を出して入力させます。犯罪グループは、この3つの情報をだましとり、ワンタイムパスワードの制限時間内に自分の手元のパソコンにそれを入れてしまい不正アクセスする。これがリアルタイムフィッシングです。
Q.対策をしても、それをすり抜ける方法があるのですね。
A.この手口が明らかになってから、そもそもパスワード認証には限界があるのではないかと言われるようになり、かわりに導入が広がっているのが、「パスキー」です。内部で何が行われているか簡単に説明します。
実は、パスキーを利用するスマートフォンには、いわば印鑑のような電子署名の仕組みが入っています。パスキーを利用する際、ネットサービスを運営する証券会社などから利用申請書のようなデータが送られてきます。スマートフォン側で指紋認証などをすると、その申請書に印鑑が押されます。
そして送り返します。会社側は正しい印鑑であることを確認しログインできるという手順です。
Q.複雑な通信が行われているのですね。
A.この仕組みは、世界的な標準規格として策定されています。「よくわからないから、使わなくてもいいや」と思っている人も多いと思いますが、安全な仕組みであることが確認されています。積極的に利用することをお勧めしたいと思います。
Q.ただ、ワンタイムパスワードと同じように、スマートフォンから送られたデータが盗み取られることはないのでしょうか。
A.その点は大丈夫です。パスキーの手続きで使う先ほどの利用申請書のデータは、正規のサイトでないと作ることができません。盗まれるどころかデータは作られません。また、スマートフォンを盗まれたらどうするのかと思うかもしれませんが、データは暗号化されていますし、指紋認証などをしなければ使えませんので安心です。
Q.利用する際に注意することはあるのでしょうか。
A.何よりも、パスワード管理を厳重に行うことです。
Q.パスワードを使わない仕組みなのに、パスワード管理が必要なのですか。
A.情報セキュリティーに詳しい、NTTデータグループの新井悠さんは「パスワードを別の方法で盗まれたり推測されたりするとパスキーは効果が薄れてしまう。従来通りのパスワード管理は徹底してほしい」と話しています。というのは、ネットサービスの中には、パスキーでも、パスワードでもどちらでもログインできるというものがあります。その場合、パスワードがばれてしまうと、不正アクセスの被害にあいます。そのパスワードですが、複雑で長いもの。たとえば20文字以上などで設定するといいと思います。パスキーを使えば、パスワードをいちいち入力しませんので、覚えておく必要はありません。ただ、紙に書いて大切に保管するか、パスワード管理ソフトで記録しておいてください。
Q.楽にログインできるからと言って、対策をおろそかにしていいわけではないのですね。
A.パスキーはフィッシング対策には強いのですが、あらゆる手口に強い対策はありません。従来から呼びかけられている対策はきちんと行うことを心がける必要があります。