最近話題の “パスキー” とはどんなもので、どうやって使うのでしょうか?
(この記事は、2023年3月22日にKirk McElhearn(https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/)によってMac Security Blogに投稿されたWhat are Passkeys, and how do they work?の翻訳です)
2022年後半にAppleがiOS 16とmacOS Venturaを公開した時、同時にパスキーへの対応も発表しました。 パスキーは、パスワードを置き換えることが期待される新しい認証技術です。パスワードに比べて、パスキーには多くの利点があるのです。
この記事では、パスキーとはどんなものか、そしてどのように動作し、なぜ将来のWebサイトやアプリの安全な認証方式になることが期待できるかを説明します。
◾パスワードの簡単な歴史
パスワードは人々を認証するために、数千年以上に渡り使われています。軍事的背景においては、味方と敵を見分けるためにも使われてきました。米国では、禁酒法時代にもぐりの酒場へ入場するための簡単な合言葉としても使われていました。マルクス兄弟の映画「御冗談でショ」の一場面を切り取った次の動画にも、ちょうどそんな酒場におけるゆるゆるのセキュリティの例が登場しています( https://www.youtube.com/watch?v=ySqec8WrEQQ )。
コンピュータの世界を見ると、パスワードがさまざまなコンピュータシステムを使用できる人間を特定する唯一の方法だと言って良いでしょう。ユーザ名とパスワードの組み合わせにより、コンピュータ、Webサイト、あるいはサービスにログインできる人物を特定して認証することで、その人物が自分のデータを利用できるようになるというわけです。
◾パスワードによるセキュリティの重要性
インターネット以前には、コンピュータを使おうとする人は物理的にそのコンピュータに触れなければならなかったため、パスワードにそれほどの重要性はありませんでした。大学や企業のコンピュータでは、利用するために自分を証明する必要がありましたが、個人的にコンピュータを利用する人の多くはパスワードなど使っていませんでした。
Macについて言えば、複数のローカルユーザアカウントを作成する基本的な機能は1999年のMac OS 9で追加されました。しかし実際には、複数のユーザアカウントの利用は2001年にMac OS Xが登場するまで一般的ではなかったのです。
インターネットが登場すると、リモートのコンピュータにログインして利用するオンラインサービスのユーザをユーザ名とパスワードで認証するのが当たり前になりました。場合によっては、ユーザ以外がサービスにアクセスできるようになる可能性を減らすためにパスワードを暗号化することもありました — ただし当初は暗号化が一般的とは言えませんでした。
その後、より安全なパスワードの必要性が出てきました。単にパスワードが軍事機密や銀行口座といった重要な情報を保護しているというだけでなく、アカウントの悪用を目指すハッカーによるコンピュータセキュリティに対する脅威が増えていったためです。
長年に渡り、多くの人々が複数のWebサイトやサービスで同じユーザ名とパスワードの組み合わせを使い回していましたが、繰り返される著名企業でのデータ漏洩に伴いユーザ名とパスワードの組み合わせも漏洩し、ハッカーがクレデンシャルスタッフィング攻撃と呼ばれる技術で漏洩したログイン情報を悪用するようになったのです( https://www.intego.com/mac-security-blog/what-is-credential-stuffing-why-you-need-unique-passwords/ )。
自動的に数百万の単語やよく使われるパスワードなどを試すことから総当たり攻撃や辞書攻撃とも呼ばれる、クレデンシャルスタッフィング攻撃を使ったアカウントに対するハッカーのアクセスを防ぐには、強力でかつサービス毎に異なるパスワードが必要になります( https://www.intego.com/mac-security-blog/4-tips-for-creating-secure-passwords/ )。
ハッカーがアカウントへの侵入技術を進化させて危険が高まるに連れ、今やもっと強固なセキュリティ認証方式が必要とされる時代が来ました。かなりの数の人が多要素認証は当然として、さらにセキュリティを向上させるために現時点で高い効果が期待できる唯一の方法でもある長い疑似乱数を使ったパスワードを生成するパスワードマネージャを併用していますが( https://www.intego.com/mac-security-blog/how-to-choose-the-right-password-manager-for-you/ )、それで手順がどんどん煩雑になってしまうことも確かです。そのためコンピュータユーザの過半数は、まだ安全ではないパスワードを複数のサイトで使い回している上に多要素認証(MFA)も利用していないのです。
多要素認証あるいは二要素認証(2FA)はハッカーによるアカウントへのログインを阻止するために開発された技術で、ユーザ名およびパスワードといったユーザが知っている情報とSMSで受け取ったりAppで生成したコードのようにユーザが持っている情報、または個人を特定できるFace IDやTouch IDといった生体認証を組み合わせるものです。しかし被害者と本物のサイトの中間者としてフィッシングサイトを利用するような攻撃においては、ある種の2FAはアカウントを保護する完全な手段にはなりません{Intego Mac Podcastのエピソード283で触れています( https://podcast.intego.com/283 )}。とは言え、不完全であっても2FAを使わないよりは2FAを使った方が安全なことは明らかです。
二要素認証も改良されており、最近では物理的なセキュリティキーを使用することもあります( https://www.intego.com/mac-security-blog/how-to-use-a-security-key-to-protect-sensitive-online-accounts/ ); そして、お使いのiCloudアカウントを保護するためにもセキュリティキーが使えます( https://www.intego.com/mac-security-blog/how-to-protect-your-apple-id-account-with-security-keys-on-iphone-ipad-or-mac/ )。
◾パスワードなしのログイン
Webサイトやサービスによってはアカウントに対するユーザ名とパスワードの登録は必要ですが、実際のログインでは別のデバイスを利用することでユーザ名とパスワードを使わないログインが実現している場合もあります。例えば、Microsoftの認証ではスマートフォン上の同社のAuthenticator Appを利用するので、ログインにパスワードは要りません( https://www.microsoft.com/en-us/security/business/solutions/passwordless-authentication )。ユーザ名とパスワードを使って設定を完了しておけば、セキュリティチャレンジに対応するだけでMicrosoftのサイトやサービスにログインできるようになります。具体的には、Webサイトに表示された2桁の番号をApp内で選択するように指示されます。するとMicrosoft Authenticator Appのダイアログには3つの選択肢が表示されるので、正しい項目をタップすればAppがサイトあるいはサービスと通信して本人であることを認証するという仕組みです。
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/microsoft-authenticator.jpeg
現時点では、この認証方式がパスワードなしでサイトやサービスにログインできる唯一の方法です。この方法では、Appで確認した既存のユーザ名とパスワード、そしてお使いのiPhoneでのFace IDかTouch IDといった生体認証を利用しています。パスワードは必要ではありますが、毎回ログインの度に入力する必要がないので長くて安全なパスワードを採用しやすくなるでしょう。なお、これらのサイトやサービスにユーザ名とパスワードの組み合わせでログインすることもまだ可能です。
◾パスキー: パスワードなしの次のレベル
一方、パスキーはさらに進んだ技術です。Googleは「パスキーは、ユーザー アカウントとウェブサイトまたはアプリケーションに関連付けられたデジタル認証情報です」としています( https://developers.google.com/identity/passkeys?hl=ja )。パスキーには、アカウント名やアカウントの認証鍵といったユーザを特定するために必要なすべての要素が含まれています。
Appleは「パスキーはWebAuthenticationあるいはWebAuthn標準を採用しており、公開鍵暗号を使います。単語や文字列の入力を利用するのではなく、すべてのアカウントのために独自の暗号化鍵ペアを生成する」としています( https://developer.apple.com/videos/play/wwdc2022/10092/?time=630 )。こうした暗号鍵は、ユーザが知る必要のない非常に長い文字列です。
認証は自分自身であることを証明したスマートフォンを介して行われ、パスキーを使ってサイトやサービスにログインする度にこの自分のスマートフォンの生体認証で自身を証明してサイトあるいはパスワードにパスキーを送信します。パスキーは、お使いのスマートフォンを物理的なセキュリティキーとして使う技術と言い換えることもできるでしょう。
パスキーはバックアップしたり同期したり、新しいデバイスに移行させることができる上に、エンドツーエンドで暗号化されます。特定のサイトあるいはサービスのためにパスキーを保存すると、同じパスワードを共有する別のデバイスでも利用できるようになります。Appleのデバイスの場合、パスキーはiCloud Keychainを使って同期され( https://www.intego.com/mac-security-blog/mac-and-ios-keychain-tutorial-how-apples-icloud-keychain-works/ )、同じiCloudアカウントにサインインしたすべてのAppleデバイスからアクセスが可能となります。
1台のデバイスを別のデバイスにログインするために使うことで、パスキーを自動実行させることもできます。Apple、Google、そしてMicrosoftは、すべてFIDOアライアンス( https://fidoalliance.org/ )のメンバーなので、パスキーに関して本当のクロスプラットフォーム互換が実現します。お使いのiPhoneでWindowsコンピュータのサイトやサービスにログインしたり、Androidフォンでお使いのMacにログインすることもできます。これはCTAP2あるいはClient to Authenticator Protocol 2( https://en.wikipedia.org/wiki/Client_to_Authenticator_Protocol )と言う仕組みで、お使いのスマートフォンからログインしようとしているもう一方のデバイスへ認証を移行するためにデバイス間で通信する方法の一つです。
この新しいパスキーという技術を統括するFIDO Allianceが、パスキーが実際にどう使われるかを動画で紹介しています ( https://www.youtube.com/watch?v=SWocv4BhCNg )。
◾Mac、iPhone、そしてiPadでのパスキーの動作
Appleのオペレーティングシステムがパスキーに対応しているのは素晴らしいことですが、対応するサイトあるいはサービスがまだまだ少ないのが現状です。パスワードマネージャのメーカである1Passwordは、現時点でサインインあるいは多要素認証の方法としてパスキーに対応するサイトの一部をPasskeys.directoryと言うページにリストしています( https://passkeys.directory/ ) 。
2023年初頭の時点でパスキーに対応するサイトの中には、Best Buy、Cloudflare、eBay、Kayak、そしてPayPal(米国)など注目に値するものもあります。
こうしたパスキーに対応するサイトの一つであるeBay(米国)で、パスキーを設定する手順を見てみましょう。お使いのeBayアカウントの設定画面にある“Sign-in and security”を開き、Passwordの部分を見るとパスキーという用語は出てこないのですが実際にはパスキーを設定する次の画像のようなオプションがあります。
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay1.png
注意: eBayのパスキーを有効にする設定にはパスキーという用語は使われていません。
Turn Onをクリックすると、Safariが次の画像のようなダイアログを表示します:
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay2.png
この設定が完了すると、次回からeBabyにサインインしようとすると次の画像のような画面が表示されます:
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay3.png
ここでSign InをクリックするとSafariが次のようなダイアログを表示します:
Do you want to sign in to "ebay.com" with your saved passkey for "user's name"? Continue with Touch ID or Other Sign In Options
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay4.png
続いてデバイスで認証をします — この私の例ではMacのTouch IDを使います — すると即座にログインできるわけです。
これでSafariの設定にあるパスワード画面を見れば、eBay用のパスキーが保存されています。ただし、パスキーの中身を見ることはできません。
https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay5.png
このパスキーはデバイス間で同期されますので、お使いのiCloudアカウントにサインインしているすべてのデバイスから利用できるようになります。
◾パスキーの長所と短所
パスキーには、多くの利点があります。実用上は、強力なパスワード、パスワードマネージャ、そして生体認証を使う従来の個人認証方式と大差がないため、ユーザから見れば特に複雑になったという印象はありません。その価値に気付きさえすれば、すぐに慣れて普及していくでしょう。
パスキーによって、文字数、大文字、そして記号といったパスワードの条件からも解放され、パスワードを記憶しておく必要もなくなります。ただしパスワードが全くなくなるというわけでもありません: お使いのコンピュータにログインするためのApple、Google、あるいはMicrosoftアカウント用のパスワードは今後も必要ですし、スマートフォンのパスコードも必要です。
パスキーは同期、バックアップ、そして書き出しおよび読み込みができるので、利用できるデバイスが1台だけに制限されません。クロスプラットフォームというFIDO標準による方針と主要なオペレーティングシステムのメーカによる協力があるので、今後も過去のVHS対ベータマックス戦争のような図式は生まれません。すべての人の目標が、共通の標準仕様で一致しています。
セキュリティの観点から見ると、パスキーがあればフィッシングは理論上不可能となります。Webサイトは証明書で自身を証明しているため、どんなに本物そっくりに見えようが一致する証明書を持たない偽サイトがパスキーを受け取って本当のサイトに転送するということはできないからです。
とは言え、現時点ではパスキーに対応するWebサイトおよびサービスであってもパスキーあるいはユーザ名とパスワードの組み合わせのどちらでもログインが可能なので、後者を悪用したハッキングおよびフィッシングがあり得るという事実には注意が必要です。
お使いのiCloudアカウント、あるいはAndroidまたはWindowsの同様のアカウントにログインできなくなったら、パスキーにアクセスすることももう一切できません。1Password( https://www.future.1password.com/passkeys/ )やDashlane( https://support.dashlane.com/hc/en-us/articles/7888558064274-Passkeys-in-Dashlane )のようなパスワードマネージャ( https://www.intego.com/mac-security-blog/how-to-choose-the-right-password-manager-for-you/ )の一部は、パスキー対応を発表しています; 今後は、オペレーティングシステムの提供者だけがパスキーにアクセスできるのではなく、他のアクセス方法も可能になることが重要だと思われます。
最後に、パスキーは個人のものなので、社員によるサイトやサービスへのアクセスを管理する必要がある企業などでは問題が起きる可能性があります。企業のIT担当者はユーザのパスキーにアクセスできないため、その利用を制御することもできません。企業がこうした認証管理方式を導入するには、さらなる技術開発が必要です。
パスキーは現在の認証方式に対して非常に優れた改良であり、将来的にユーザがパスワードを作成して記憶する苦労から解放される可能性を持っています。パスキーは生まれたばかりだということを考えれば、今は様々な弱点があるにしてもいずれはパスワードを置き換えることが大いに期待できます。
◾お使いのMacは安全ですか?
Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
https://www.act2.com/intego
添付ファイル エリア
YouTube 動画 Marx Brothers: Horse Feathers - Swordfish をプレビュー
https://www.youtube.com/watch?v=ySqec8WrEQQ&t=10s
Marx Brothers: Horse Feathers - Swordfish
YouTube 動画 Passkeys in Action をプレビュー
https://www.youtube.com/watch?v=SWocv4BhCNg&t=8s
Passkeys in Action
【Intego + act2 による補足】
パスキーは、サイトやアプリにログインする場合に、これまでのようにIDとパスワードの
組み合わせではなく、IDと生体認証を搭載したスマホで本人確認をしてログインするとい
うのが基本コンセプトです。
よって、手順としては、ログインの際にスマホのSMSなどにセキュリティコードが送られてくる二要素認証と似ていますが、パスキーの方は認証の完了しているあらゆる端末からアクセス可能であるという点で利便性が高いです。
また、二要素認証の場合は認証情報を偽のサイトから本物のサイトに転送して第三者が本物のサイトにログインできてしまう中間者攻撃があり得ますが、パスキーではサイトと端末が直接通信しなければならないので、現状の中間者攻撃は不可能という点も大きな利点です。
(EOF)
