2023年6月22日9:17
インターナショナルシステムリサーチ(ISR)は、2023年6月8日、パスワードを使用しないマルチデバイス対応FIDO認証資格情報「Passkeys(パスキー)」に関する記者向けの勉強会を開催した。近年、さまざまな企業がパスワードを使わない認証方法の採用が進めているが、FIDOアライアンスによるパスキーのサポートがスタートしたことで、より個人/企業のセキュリティが強化できるとした。
パスワードを狙ったフィッシング等の被害増加
侵害初期アクセスの86%はパスワード
近年は、パスワードによる認証によるフィッシングの攻撃リスクが増加している。そんな中、パスワードの代わりとなるパスキーがFIDOアライアンスから登場し、大手企業が続々とサポートを発表している。パスキーの普及により、個人や企業におけるセキュリティのレベルを高めることが期待されている。
インターナショナルシステムリサーチ 代表取締役 メンデス・ラウル氏
パスワードを狙ったフィッシングの具体例として、2023年5月には、詐欺容疑で逮捕された男性のパソコンから、数百万人分にのぼる IDとパスワード、および1億件にのぼるメールアドレスが見つかっている。金融機関やショッピングサイトを装った偽サイトも確認され、フィッシング詐欺用に作られたという。また、リスト型攻撃として、転職サイトサーバに大量に不正アクセスが仕掛けられ、最大で約25万7,565人の履歴書が漏洩した可能性がある。他にもパスワード侵害は多く発生している。
Verizon Businessが6月5日に発表した「2023 Data Breach Investigations Report」によると、侵害初期アクセスの86%がパスワードを使用したものだ。また、侵害を行うハッカーが認証情報を手に入れる方法として、ソーシャルエンジニアリング攻撃が増加。これは、パスワードなどの重要情報を、情報通信技術を使用せずに盗み出す方法だ。
さらに、フィッシングよりも多くみられる手法として、「プリテキスティング」がある。これは、専門の業者になりすます手法だ。例えば、ヘルプデスクになりすまし、正当な担当者と勘違いすると情報を渡してしまう事件などもある。フィッシング対策ツールを使っている企業や個人はいるが、なりすましが最もらしくなると簡単に騙されてしまうそうだ。認証情報を入手する方法はダークウェブ、総当たり攻撃など、複数の方法がある。認証情報が盗まれる方法が分かってもどこで盗まれたかは特定できない。ISR 代表取締役 メンデス・ラウル氏は「事件が頻発しているのであれば、いつどこでよりもパスワードを使わない方法を模索した方がいい」とした。
パスキーは認証情報の漏洩や窃取に耐性
複数端末で認証資格情報を同期可能に
FIDOアライアンスでは、UAF(Universal Authentication Framework)とU2F(Universal 2nd Factor)、「FIDO2」の標準化を行ってきたが、普及は限定的だった。そんな中、FIDOアライアンスでは、2022年3月にパスワードのない認証を広げる「パスキー」のコンセプトを発表。フィッシング耐性のあるFIDO認証はパスキーにより、本格的な普及段階を迎えつつある。
パスキーは、FIDO2で使う「FIDO認証資格情報(秘密鍵)」のことを指す。セキュリティ面では、端末内蔵の生体認証器を利用して顔や指紋による認証を行う。パスワードの場合、サーバとパスワードをインターネット上でやり取りするため、フィッシングや中間者攻撃により窃取される可能性があるが、端末内部にあるセキュリティチップに認証資格情報が保存されるため、フィッシングなどによる認証情報漏洩や窃取に耐性があるとした。
また、利便性の面では、パスワードは、安全性の面で複雑なパスワードを考えたり、定期的に変更を行うなど、管理面で面倒に感じる部分がある。一方で、パスキーは、生体認証が可能なため、かざすだけで認証が完了する。また、同じOSを搭載する複数端末で認証資格情 報を同期できるため、端末ごとに認証資格情報を登録する必要がないとした。例えば、紛失や故障等による端末買い替え時にも、認証資格情報を再登録せずに利用が可能だとした。
PayPalは日本などアジアでの導入拡大
Googleは「Google Workspace」でも認証可能に
2022年には、Google、Apple、Microsoft が2023年にかけてパスキーへのサポートを拡大する計画を発表。MacBookやiOSデバイス、Windows 10/11、Androidなど「日常的に利用するほぼすべての認証機がFIDO認証に対応します」とラウル氏は説明する。
