当初、ドコモがFIDO認証に対応したのはハイエンド端末中心で、当初はその9割近くが生体認証を設定したというが、現在では全体の6割程度が生体認証を設定しつつも、パスワードを無効化しているのは「10%もいかないぐらい」(久保氏)だという。dアカウントのアクティブユーザー数は5000万程度とされており、500万程度になる。
ドコモは2022年9月に、ドコモオンラインショップでの購入手続き時の認証において、回線認証またはパスワードレス認証に限定したところ、不正が起きなくなったという。パスキーは回線認証に匹敵する強固な認証手段として位置付けており、今後も注力していく。
例えば、オンラインショップで一部パスワードレス認証を推進したが、アプリのプリインストールが不要になったことで、さらに他のシーンでも「いつもパスキー設定(パスワードレス設定)」を必須にするなどして、ユーザーの移行を促していきたい考えだ。
「ドコモをかたるフィッシングは非常に多い」と久保氏は話し、パスワードを使わず、登録時のサイトでしか認証が表示されない(URLが異なれば認証状態にならない)パスキーの対応によって、こうした攻撃への対策になることを期待する。
ドコモユーザーの場合、ドコモ回線を使ってネットワーク暗証番号を入力することで本人認証ができる。ただ、例えば1つの端末で回線認証を使ってログインしたアプリがあって、その端末でSIMを切り替えたり、デュアルSIM端末でログイン時と異なる回線に切り替えていたりした場合に、ログインができなくなってしまうという問題があった。
ドコモユーザーで回線認証必須のアプリとしては、例えばd払いがあり、パスキーでのログインに移行すると、端末切り替えでも使い勝手が変わらずに継続できる。
これに対して久保氏は、「まだFIDO認証を使っているユーザーも少ないので、現状は回線認証を切り替えられるかどうかは分からない」と慎重な答え。「パスキーが普及してきたら、違う局面もあるかもしれないので、状況を見ながら」としている。
ちなみに、パスキーによって複数端末に認証情報が同期されるため、複数端末でログインしやすくなるが、それもアプリやサービスのポリシー次第ということで、「1台でしかログインできない」という制約がある場合は、それがパスキーになっても変わらないとのこと。ただ、それでも回線認証がなければ、ログインする端末を切り替えるのは容易にできる(既存の端末はログオフになる)ので、やはりパスキーに移行するのが正しいだろう。ドコモ側には対応をお願いしたいところ。
なお、家計簿アプリや会計サービスなど、銀行口座やクレジットカードの明細を取得して表示するサービスはあるが、これまではdアカウント設定アプリに通知が来て生体認証でログインを許可するという手法が可能だった。パスキーになるとブラウザへの通知ができないということで、同じ手法はできなくなりそうだという。
その場合、これまで通りのdアカウント設定アプリをインストールすることで利用可能になるかもしれない、とは久保氏の談。また、各サービス事業者と解決を探ることができるかもしれないとはいうが、究極的には特にクレジットカード事業者などがAPIによる明細取得を可能にすればいい話ではある。現状のスクレイピングによる明細取得は本来推奨されていないからだ。とはいえ、現状ではパスキー設定をするとこうした明細取得で問題が発生する可能性はある。
とはいえ、パスキーによってパスワードをなくして生体認証だけでログインできる仕組みは、安全性と利便性が大幅に向上する。現状では有望な仕組みであり、ドコモユーザー、特に今までアプリが必要だったので設定していなかったiOSユーザーは、パスキーへの移行を検討してもいいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.