ISRがパスワードレス認証「パスキー」による個人/企業のセキュリティ対策を解説

2023年6月22日9:17

インターナショナルシステムリサーチ(ISR)は、2023年6月8日、パスワードを使用しないマルチデバイス対応FIDO認証資格情報「Passkeys(パスキー)」に関する記者向けの勉強会を開催した。近年、さまざまな企業がパスワードを使わない認証方法の採用が進めているが、FIDOアライアンスによるパスキーのサポートがスタートしたことで、より個人/企業のセキュリティが強化できるとした。

パスワードを狙ったフィッシング等の被害増加
侵害初期アクセスの86%はパスワード

近年は、パスワードによる認証によるフィッシングの攻撃リスクが増加している。そんな中、パスワードの代わりとなるパスキーがFIDOアライアンスから登場し、大手企業が続々とサポートを発表している。パスキーの普及により、個人や企業におけるセキュリティのレベルを高めることが期待されている。

インターナショナルシステムリサーチ 代表取締役 メンデス・ラウル氏

パスワードを狙ったフィッシングの具体例として、2023年5月には、詐欺容疑で逮捕された男性のパソコンから、数百万人分にのぼる IDとパスワード、および1億件にのぼるメールアドレスが見つかっている。金融機関やショッピングサイトを装った偽サイトも確認され、フィッシング詐欺用に作られたという。また、リスト型攻撃として、転職サイトサーバに大量に不正アクセスが仕掛けられ、最大で約25万7,565人の履歴書が漏洩した可能性がある。他にもパスワード侵害は多く発生している。

Verizon Businessが6月5日に発表した「2023 Data Breach Investigations Report」によると、侵害初期アクセスの86%がパスワードを使用したものだ。また、侵害を行うハッカーが認証情報を手に入れる方法として、ソーシャルエンジニアリング攻撃が増加。これは、パスワードなどの重要情報を、情報通信技術を使用せずに盗み出す方法だ。

さらに、フィッシングよりも多くみられる手法として、「プリテキスティング」がある。これは、専門の業者になりすます手法だ。例えば、ヘルプデスクになりすまし、正当な担当者と勘違いすると情報を渡してしまう事件などもある。フィッシング対策ツールを使っている企業や個人はいるが、なりすましが最もらしくなると簡単に騙されてしまうそうだ。認証情報を入手する方法はダークウェブ、総当たり攻撃など、複数の方法がある。認証情報が盗まれる方法が分かってもどこで盗まれたかは特定できない。ISR 代表取締役 メンデス・ラウル氏は「事件が頻発しているのであれば、いつどこでよりもパスワードを使わない方法を模索した方がいい」とした。

パスキーは認証情報の漏洩や窃取に耐性
複数端末で認証資格情報を同期可能に

FIDOアライアンスでは、UAF(Universal Authentication Framework)とU2F(Universal 2nd Factor)、「FIDO2」の標準化を行ってきたが、普及は限定的だった。そんな中、FIDOアライアンスでは、2022年3月にパスワードのない認証を広げる「パスキー」のコンセプトを発表。フィッシング耐性のあるFIDO認証はパスキーにより、本格的な普及段階を迎えつつある。

パスキーは、FIDO2で使う「FIDO認証資格情報(秘密鍵)」のことを指す。セキュリティ面では、端末内蔵の生体認証器を利用して顔や指紋による認証を行う。パスワードの場合、サーバとパスワードをインターネット上でやり取りするため、フィッシングや中間者攻撃により窃取される可能性があるが、端末内部にあるセキュリティチップに認証資格情報が保存されるため、フィッシングなどによる認証情報漏洩や窃取に耐性があるとした。

 

また、利便性の面では、パスワードは、安全性の面で複雑なパスワードを考えたり、定期的に変更を行うなど、管理面で面倒に感じる部分がある。一方で、パスキーは、生体認証が可能なため、かざすだけで認証が完了する。また、同じOSを搭載する複数端末で認証資格情 報を同期できるため、端末ごとに認証資格情報を登録する必要がないとした。例えば、紛失や故障等による端末買い替え時にも、認証資格情報を再登録せずに利用が可能だとした。

PayPalは日本などアジアでの導入拡大
Googleは「Google Workspace」でも認証可能に

2022年には、Google、Apple、Microsoft が2023年にかけてパスキーへのサポートを拡大する計画を発表。MacBookやiOSデバイス、Windows 10/11、Androidなど「日常的に利用するほぼすべての認証機がFIDO認証に対応します」とラウル氏は説明する。

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP