Skip to main content

パスキーのセキュリティ

サイバー犯罪者は多くの場合、信頼できる同僚、知人、または組織を装って被害者を騙し、機密情報やネットワークアクセスを提供させるよう仕向けます。この行為は「フィッシング」(または、「フィッシング詐欺」)として知られています。サイバー犯罪者は、メール、テキストメッセージ、または電話を通じて人々を誘惑しようとします。

Verizonの「2024年データ侵害調査レポート」によると、フィッシング詐欺全体の報告率は過去数年で増加しています。ユーザーがフィッシングメールに引っかかるまでの時間の中央値は、60秒未満です。

フィッシングに加えて、認証資格情報の侵害や脆弱性の悪用もセキュリティ上の懸念事項です。2024年のレポートでは30,000件を超えるインシデントが調査され、その3分の1がデータ侵害であることが確認されました。

  • 14%の侵害行為が最初のアクセス手段として脆弱性の悪用に関わっており、その件数は昨年のレポートのほぼ3倍に達している。
  • 68%の侵害行為が、ソーシャルエンジニアリング攻撃やエラー発生によって被害に遭うなどの人的要因に関わっており、マルウェアは使用されていなかった。
  • 15%の侵害行為がソフトウェアサプライチェーン、ホスティングパートナーのインフラストラクチャー、データ管理者などのサードパーティまたはサプライヤーに関わっていた。

パスキーにはフィッシング耐性があり、安全を確保したデザインになっています。このアプローチにより、従来の認証や多要素認証よりも改善されたセキュリティモデルを提供します。パスキーには拡張性があり、長期的なニーズを満たす上で有益です。実際、ほぼすべてのパーソナルコンピュータデバイスがパスキーをサポートしており、人々はパスキーのユーザーエクスペリエンスを好んでいます。

概要

パスキーは、非対称暗号技術に基づくチャレンジ・レスポンス認証プロトコルを使用しています。これによりフィッシング耐性が確保され、サーバー上で機微な秘密情報を保存する必要もなくなります。結果、従来の認証と比較してセキュリティが大幅に進歩しました。

フィッシング耐性

ユーザーがデバイスのロックを解除して承認すると、システム(ブラウザ、オペレーティングシステム、クレデンシャル・マネージャーまたは同等の標準に準拠したセキュリティキーの組み合わせ)がパスキーを提示します。このシステムは誤ったサイトに認証資格情報を提示することはなく、そのためフィッシング攻撃を根本から防ぐことができます。例えば、ユーザーが騙されて「compannyy.com」(余分な文字を含む)のウェブサイトで「company.com」のパスワードを入力するよう仕向けられる可能性がありますが、システムはこれを実行することはありません。なぜならシステムはロボットであり、パスキーが発行されたドメインとユーザーがいるドメインが完全に一致する必要があるからです。

また、パスキーをユーザーの携帯電話から近くにあるデバイス(コンピューターなど)に提示し、インターネットサービスにサインインすることも可能です。これは「クロスデバイス認証」とも呼ばれます。この場合、コンピューターシステムとモバイルシステムは標準を利用して、実際に携帯電話が物理的にコンピューターの近くにあり、この提示がフィッシング可能ではないことを確認します。この場合の物理的近接性は、Bluetoothを利用して検証されます。携帯電話とコンピュータ間のプロトコルはアプリケーション層で保護されており、Bluetoothセキュリティには依存しません。

クロスデバイス認証に関する別の重要なユースケースでは、ユーザーはインターネットサービスにサインインするために、セキュリティキーを差し込むか(USB経由)、タップする(NFC経由)ことで、セキュリティキー上に存在するパスキーを近くのデバイス(コンピューターやスマートフォン)に提示できます。この場合の物理的近接性は、USBまたはNFCを利用して確保されます。

サーバー側での秘密排除

普段よく耳にするもう1つの標準的な攻撃手段として、より小規模のサイトからパスワードハッシュのデータベースを盗み出し、ハッシュが適切に行われていないために攻撃者がそのデータベースをクラッキングするというものがあります。攻撃者は平文パスワードを知っているため、このサイトにユーザーとしてサインインできます(さらに、多くのユーザーがそうであるように、同じパスワードを他でも利用している場合は、他のサイトにもサインインできます)。ただし、パスキーは非対称暗号技術を使用しているため、類似のサーバーデータベースには公開鍵のセットのみが含まれています。

暗号理論における数学問題の困難性から公開鍵を解読して秘密鍵を抽出することは、計算上不可能です。そのため、たとえ攻撃者がこのデータベースを入手できたとしても、秘密鍵がユーザーのデバイス上にのみ存在するため、公開鍵を使ってサイトにサインインすることはできません。

さらに進めると、すべてのサイトの各アカウントには、一意の公開鍵と秘密鍵のペアが付与されます。従って、あるサイトから公開鍵のデータベースが盗まれても、鍵が再利用されることはないため、デザイン上、別のサイトを侵害するために使用することはできません。

多要素認証

認証要素には、以下の3つのタイプがあります。

  • あなたが「持っているもの
  • あなた「自身
  • あなたが「知っているもの

パスキーでは、公開鍵と秘密鍵の組み合わせを使用します。秘密鍵はお使いのデバイスに保存されるので、これはあなたが「持っているもの」の要素になります。

サインインしようとしているサーバーがユーザー検証をリクエストした場合、ユーザーはこれを生体認証またはPINを使用して実行できます。これは、あなた「自身」、あるいはあなたが「知っているもの」になります。従って、パスキーを使用した認証は、多要素セキュリティの基本原則を体現しています。

組織は、クレデンシャル・マネージャーのアカウントにアクセスするときに使用するパスワードなど、単一の要因によってパスキーが攻撃者に狙われるのではないかと懸念を抱くかもしれません。しかし、実際にそのようなケースはありません。クレデンシャル・マネージャーは、ユーザーのパスワード以外にも複数のリスクシグナルを考慮します。ユーザーを認証し、パスキーをデバイスに復元するときに、ユーザーに表示されるものと表示されないものがあります。

生体認証

FIDOプロトコルでは、生体認証データを使用する際にデバイス外に送信されないことが規定されています。サーバーは生体認証チェックが成功したという保証だけを認識します。携帯電話、コンピューター、セキュリティキーなどのデバイスのローカル生体認証処理に変更を加えることはありません。

デバイス固定パスキーのセキュリティキー

特定のコンプライアンス要件がある環境では、使用可能な暗号鍵のコピーが1つだけであることを保証する必要がある場合があります。そのような場合に最適なソリューションが、FIDOセキュリティキーです。すなわち、FIDOセキュリティキー内にパスキーがあります。

別の有用なユースケースとして、エンドユーザーがアカウント回復要素としてセキュリティキーを使用するというものがあります。同期パスキーを使用する携帯電話やその他のデバイスにアクセスできなくなった場合、エンドユーザーはFIDOセキュリティキーを使用して、アクセスを回復できます。

  翻译: