攻撃者にチャンス到来？ パスキーを脅かすのは誰だ：半径300メートルのIT

パスワードに代わる安全な認証手段として注目を集めているパスキー。普及が期待されているこの技術は本当に素晴らしいものですが、そこにはあるリスクが存在します。「X」が発表した“要請”からそれをひもときましょう。

[宮田健，ITmedia]

　脆弱（ぜいじゃく）性の放置や設定ミス、ネットワーク機器からの侵入など、組織におけるセキュリティの勘所はたくさんあります。この辺りに関しては多くの読者が「セキュリティの人の仕事」と認識しているかもしれません。では、普通の人の（セキュリティの）仕事は？　今のところはフィッシング対策だと思っています。

　フィッシングは電子メールやSMS、偽広告など、入り口となるところがたくさんあります。それらを使って偽のWebサイトに誘導し、偽のフォームにID／パスワードを入れさせます。二要素認証も「リアルタイムフィッシング」を使い、巧みにワンタイムパスワードを盗み、正規のWebサイトにログインします。絶対に偽のWebサイトにワンタイムパスワードを入力してはならないことは分かっていても、偽のWebサイトはもはや私たちでは判別できないほどに精巧に作られているため、気を付けていてもだまされる可能性があります。

　そこで最新技術の登場です。「パスキー」はこの混沌とした状況を打開する手法として、とうとうわれわれのもとにやってきたヒーローといえるかもしれません。パスキーをスマートフォンに登録することで、スマートフォンの生体認証機能を活用しつつ、秘密情報がネットワークを通らず、デバイスの外に出ない（パスワードのようにサービス提供側のサーバにも保存しない）ため、非常に安全な認証ができる仕組みとして期待されています。ここ20年ほど期待されていた「パスワードのない世界」を実現する、最も近い技術かもしれません。

　ただ、安全だと言われると「本当に？」と思うのが人の常。個人的にはパスキーという技術そのものは信頼し切っています。問題は、やはり「人」にあるかもしれません。

パスキーはなぜ安全なのか？　あらためて仕組みを解説

　なぜパスキーは安全なのでしょうか。それはフィッシング耐性が非常に高い仕組みだからです。FIDO2をベースとしたこの仕組みは、公開鍵暗号によるWebAuthnを使って実装されており、かつ利便性を考え、OSやWebブラウザの同期機能とも連動し、所持する複数のデバイスで利用を想定したものとなっています。

　そのため、例えばAppleやGoogleのアカウントを利用していれば、機種変更後もパスキーをそのまま利用可能です。逆に言うと、パスキーそのものをエクスポートすることは難しく、筆者がサードパーティーのパスワード管理ソフト「1password」から、AppleのOS標準の「パスワード」アプリに移行を試してみたところ、現時点ではパスキーの移行はできませんでした。

　そしてパスキーの重要なポイントは鍵情報をやりとりする「ドメイン情報」も含まれているということです。そのため偽のWebサイトにパスキーは利用できないように設計されています。いくら見た目が類似したWebサイトを作られても、パスキーが反応することはありません。

　筆者はたびたびパスワード管理ソフトをこのコラムで推し続けていましたが、その理由はまさに「偽のWebサイトが利用する偽のドメインではパスワードが自動入力されない」ことにありました。「普段なら自動入力されているのに、おかしい！」と気が付けるわけです。パスキーもそのような特性がありますので、パスキーを利用できる方はぜひしっかりと設定してみてください。

　既に（大きな事故を経験した）証券会社の多くがパスキーを実装済み／実装予定が発表されておりますし、携帯電話事業者や任天堂などもパスキーを積極的に活用しています。実際に触ってみることが一番。驚くほど簡単に認証ができる上に、強力なことこの上ありません。

　このようなパスキーは非常に便利です。ただ一つだけ覚えておいてほしいことがあるのです。

安全だと思っていたパスキーが非常に危ういものに？　潜むリスクとは

　大変気になるニュースがありました。皆さんもチェックしているかもしれませんが、「X」（旧Twitter）がパスキーに関して2025年11月10日までに、ある「要請」を投げかけました。それは以下の通りです。

　11月10日までに、2要素認証（2FA）の方法としてセキュリティキーを使用している全てのアカウントに対し、Xへのアクセスを継続するためにセキュリティキーを再登録するようお願いしています。既存のセキュリティキーを再登録するか、新しいものを登録することができます。

　リマインダー：新しいセキュリティキーを登録した場合、他のセキュリティキー（再登録されていない場合）は動作しなくなります。

（Xのポストを「Grok」で翻訳）

　解説をチェックしてみましたが、既にパスキーを登録していたという方は、そのパスキーが「twitter.com」で証明書が作成されているため、新たにサービスとして使っている「X」の証明書に切り替えるため、ユーザーに「再作成」を依頼するという内容です。再作成自体は、アプリのメニューから「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」に画面遷移し、オンとなっている「パスキー」を一度オフにし、再度オンにするという作業です。あまり時間がない状況での「要請」ですが、このスケジュールのままであるとすると、2025年11月11日以降にパスキーによるログインができなくなるため、この作業を早めにしなければなりません。

筆者も早速再作成しましたが……（出典：筆者のXアカウント）

　この作業、皆さんはどう感じたでしょうか。筆者はこれが「攻撃」に使われたとしたら、安全だと思っていたパスキーが非常に危ういものになると感じました。パスキーそのものにはまだ致命的な脆弱性は発見されていません。攻撃者が脆弱性を見つけ、攻撃することはしばらくないと思います。しかし攻撃者は攻撃を諦めることもないでしょう。もし攻撃者が同じことを言ったとしたら、あなたはこの作業をどこで止められるでしょうか。

　恐らくパスキーの攻撃シナリオは「あなたのパスキーに不具合が見つかった。公式のWebサイトからパスキーをオフにし、このページからログインして再設定してください」というものになるのではないでしょうか。パスキーが堅牢（けんろう）であるのなら、それをオフにさせる。その方が簡単のはずです。

　折しも「ClickFix」なる攻撃手法が大きな話題になりました。これはクリップボードにこっそりと攻撃につながるコードを入れ込み、言葉巧みに「ペースト」させ、リターンキーを押させ「実行」させるという、単純ながら非常に効果が高い攻撃です。パスキーももしかしたら、そういった手法で破られていくのかもしれません。

　そのためまず今回のX.comの要請に関しては、作業を実施してみましょう。そして「パスキーを自らオフにする、再作成するということは、非常にリスクの高い行動である」ということを肝に銘じてください。もし今回以降、同じようにパスキー再生成を要請された場合、必ず自分のWebブラウザのブックマークからトップページに行き、その要請が本物かどうかを確かめてください。電話で依頼があったなどもっての外です。「その要請、本物？」と考えなくてはならないという点については、フィッシング対策と状況はそれほど変わらないのです。

　個人的には、Xがドメインを変えるということに利用者が付き合わされるのは納得がいかないとは思うものの、注意喚起に転じれば良いと思っています。ドメインを捨てることはセキュリティの根幹を揺るがすことになるという点も、頭の片隅に置いておく必要があるのかもしれません。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。