2023年4月18日火曜日

FakeGPT: Facebookアカウントをハイジャックするトロイの木馬化されたChatGPT Chrome拡張機能


話題が絶えない ChatGPT について、Intego のブログにおいて、すでに 3月23日において少し言及されているのを見つけました。興味深い内容ですので、ここにご紹介しておきたいと思います。


(この記事は、

2023年3月23日に

Joshua Long

https://www.intego.com/mac-security-blog/author/joshlong/)によって

Mac Security Blogに投稿された

FakeGPT: Trojanized ChatGPT Chrome extensions hijack Facebook accountsの翻訳です



FakeGPTは、3月に発見されたMacに感染する3つのマルウェアファミリーの1つです{他の2つはMacStealer( https://act2blog.blogspot.com/............. ) とSmoothOperator( https://act2blog.blogspot.com/............. )です}。

FakeGPTが何をするのか、このキャンペーンの背後に誰がいるのか、そしてどうやって防御すれば良いのかを見ていきましょう。


◾ FakeGPTについて

FakeGPTは、GoogleのChromeウェブストアにある少なくとも4つの既知の拡張機能で構成されています。なお、Microsoft Edge、Brave、そしてOperaなどのChromiumベースのブラウザもChrome拡張機能が実行できることに注意しておいてください。

被害者がChromeウェブストアを検索していてこうした実体がトロイの木馬である拡張機能を見つけた可能性もありますが、基本的にFakeGPTマルウェアの開発者は初期のキャンペーンではFacebookで、最近ではGoogleの検索結果で人の目を惹くように有料広告を活用しています。

当初のFacebook広告キャンペーンでは、被害者を“Quick access to Chat GPT”という偽の拡張機能に転送していました。最近のキャンペーンでは、Googleで“Chat GPT 4”というキーワードを検索すると“ChatGPT for Google”の偽拡張機能へ転送する広告が検索結果のトップに表示されると言われています。


◾ FakeGPTマルウェアは感染すると何をするのか

FakeGPT拡張機能がインストールされると、被害者のFacebook Cookieを収集してマルウェアのディストリビュータに転送します。被害者がFacebookにログインしているとそのCookieがマルウェアのメーカに転送され、マルウェアのメーカがあたかも被害者のユーザ名、パスワード、そして二要素認証にアクセスできているかの如く苦もなく該当Facebookアカウントに直接アクセスできるようになるという仕組みです。

このような仕組みが実現するのは、ほとんどのWebサイトと同様にFacebookも“ログイン状態を維持するCookie”を利用しているためです。Facebookの場合、個々のユーザに最適化されたFacebook広告を表示するというFacebook(およびその親会社であるMeta)の戦略の一つを実現する目的でユーザがインターネット上のどこに行ったのかをトラッキングし続けますが、そのためにはユーザが無期限にログインし続けられる必要があるのです。

この機能の問題は、悪意を持つ誰かがあなたのCookieを入手して制御下にある別のコンピュータに移行させると、あたかもあなたであるかの如くログインできてしまうということなのです。こうして攻撃者がアカウントを乗っ取れば、あなたが自身のアカウントでできることならなんでも可能な状態になってしまいます。

なお、興味深いことに今月見つかったMacStealerマルウェアにもCookieを盗む機能があることが分かっています( https://www.intego.com/mac-security-blog/macstealer-mac-trojan-malware-steals-passwords-wallets-and-files/ )。


◾ このマルウェアの背後にいるのは誰?

このマルウェアを開発したのが誰なのか確実なところはわかっていませんが、偽拡張機能の当初の被害者達は、そのアカウントにISISを宣伝する写真を攻撃者にアップロードされています。これは、イスラム国グループと関係する誰かがこのマルウェアを拡散させたことが示唆されます。


◾ FakeGPTや他のMacを狙うマルウェアから防御する方法

IntegoのX9シリーズソフトウェアのバンドル製品に含まれているVirusBarrier X9は、Macを狙うマルウェアを検出および除去することでMacを守ります( https://act2.com/ )。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです( https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ )。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。


◾ お使いのMacは安全ですか?


Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego


後記:

ChatGPT に関する興味は尽きないですね。
AI(人工知能)がサイバーセキュリティについても解決してくれる日もそう遠くないかもしれません。
専門家でない限り、その仕組や性能については普通のユーザはそう神経質になる必要はなく、その恩恵に預かれば良いと思いますが、上述のようなリスクが消えないことも事実です。
ですから、自分が使っているマシンには、常に、最新の OS、最新のセキュリティツールをインストールしておくことを意識しておくことは大切なことだと、あらためて思いました。



さて、5月の連休も近くなり、外出の機会も増えると思います。

次回は、外出時のセキュリティ対策について記述したいと思います。


それではまた。

(私はまだ花粉症を引きずっているのですが、皆様、どうかご自愛くださいますように)


株式会社アクト・ツー

Software Product Team



商品名・および社名は各社の商標または、登録商標です。製品の仕様および価格・名称は予告なく変更
されることがあります。

2023年4月7日金曜日

新たな macOS マルウェア “MacStealer”


MacStealer... マックスティーラ〜!!!



暖かくなってきたのはうれしいのですが...    花粉症に悩まされて、涙目でこれを書いております...


さて、


4/5 の「マイナビニュース」さんに、以下の記事が掲載されました。さすがマイナビニュースさんですね!


https://news.mynavi.jp/techplus/article/20230405-2644371/


「マイナビニュース」さんの記事からの引用:

Firefox、Chrome、BraveなどのWebブラウザに保存されているさまざまなファイル、暗号資産ウォレット、Keychainのデータなどを窃取する新たなmacOSマルウェア「MacStealer」が報告された。



私はさっそく、INTEGO 社に、Mac 用セキュリティベンダーとしての見解を求めました。



さて、その回答は...

これまたさすが専門ベンダーと思わせる回答でしたのでご報告させてください:




INTEGO 社の見解 ================================


MacStealer は、VirusBarrierX9(ウイルスバリア) の場合、2023年4月4日更新した定義ファイルで検出します。


MacStealer については、Intego Podcast でもすでに触れています:

https://www.intego.com/mac-security-blog/new-mac-malware-and-stolen-session-cookies-intego-mac-podcast-episode-285/


日本人のユーザさんのほとんどは英語のPodcastを聴くことはないと思いますが、これが2023年3月30日でした。


MacStealerについては、

https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware

が初めて一般に紹介されたらしいのですが、これが2023年3月24日でした。


したがいまして、MacStealer がダークウェブで見つかってから定義ファイルの公開まで1週間だったことになります。

けっこうやっかいな Malware でしたが、私たちのエンジニアはやりとげました。


MacStealer はかなり悪質で危険ですので、日本の皆様も上述の4月4日配布の最新定義ファイルに一刻も早く更新してくださいね。

  • Intego R&D Team WITH LOVE AND THANKS

==============================================



という返事でした。さすがですね。


さて、


みなさんの Mac は安全でしょうか?


Mac に信頼できるセキュリティツールをご検討中なら、ぜひ、

https://www.act2.com/intego#mis

ここで、とりあえず 6ヶ月版を使ってみることをオススメします。(Yen 2,750 税込み

この 6ヶ月版というのは、通常の1年版と機能的には全く同じですし、6ヶ月後には、通常の年間更新サービスを受けられます。裏話ですが、本当は2年ほど前に1年限定で試したサービス版なのですが、ご好評につき、今も Intego 社を説得して継続しています (^^/




もう今日は4月7日ですね。多くの会社や学校では新年度がスタートした時期ですね!

Intego 社もわたしたち(act2.com)も一丸となってがんばります。

みなさんの Mac が健全であることをいつも祈念しています。


あ、それから...


会社や学校で個人の Macbook を使っていらっしゃるスタッフさんを見かけられたら、ぜひ、会社や学校で購入してもらいましょう!

下記のページから特別価格のお見積りをさせていただきます:

https://www.act2.com/est


最後は宣伝になってしまって、失礼しましたー!

みなさま、良い週末を!


「マイナビニュース」は「株式会社マイナビ」様の登録商標です。

https://news.mynavi.jp/ のコンテンツは、「株式会社マイナビ」様に帰属します。

今回、引用させて頂き、ありがとうございました。



文責 - M.K.

2023年4月5日水曜日

”パスキー” なんだってばー!

 



最近話題の “パスキー” とはどんなもので、どうやって使うのでしょうか?


(この記事は、2023年3月22日にKirk McElhearn(https://www.intego.com/mac-security-blog/author/kirk-mcelhearn/)によってMac Security Blogに投稿されたWhat are Passkeys, and how do they work?の翻訳です)


2022年後半にAppleがiOS 16とmacOS Venturaを公開した時、同時にパスキーへの対応も発表しました。 パスキーは、パスワードを置き換えることが期待される新しい認証技術です。パスワードに比べて、パスキーには多くの利点があるのです。


この記事では、パスキーとはどんなものか、そしてどのように動作し、なぜ将来のWebサイトやアプリの安全な認証方式になることが期待できるかを説明します。


◾パスワードの簡単な歴史


パスワードは人々を認証するために、数千年以上に渡り使われています。軍事的背景においては、味方と敵を見分けるためにも使われてきました。米国では、禁酒法時代にもぐりの酒場へ入場するための簡単な合言葉としても使われていました。マルクス兄弟の映画「御冗談でショ」の一場面を切り取った次の動画にも、ちょうどそんな酒場におけるゆるゆるのセキュリティの例が登場しています( https://www.youtube.com/watch?v=ySqec8WrEQQ )。


コンピュータの世界を見ると、パスワードがさまざまなコンピュータシステムを使用できる人間を特定する唯一の方法だと言って良いでしょう。ユーザ名とパスワードの組み合わせにより、コンピュータ、Webサイト、あるいはサービスにログインできる人物を特定して認証することで、その人物が自分のデータを利用できるようになるというわけです。


◾パスワードによるセキュリティの重要性


インターネット以前には、コンピュータを使おうとする人は物理的にそのコンピュータに触れなければならなかったため、パスワードにそれほどの重要性はありませんでした。大学や企業のコンピュータでは、利用するために自分を証明する必要がありましたが、個人的にコンピュータを利用する人の多くはパスワードなど使っていませんでした。


Macについて言えば、複数のローカルユーザアカウントを作成する基本的な機能は1999年のMac OS 9で追加されました。しかし実際には、複数のユーザアカウントの利用は2001年にMac OS Xが登場するまで一般的ではなかったのです。


インターネットが登場すると、リモートのコンピュータにログインして利用するオンラインサービスのユーザをユーザ名とパスワードで認証するのが当たり前になりました。場合によっては、ユーザ以外がサービスにアクセスできるようになる可能性を減らすためにパスワードを暗号化することもありました — ただし当初は暗号化が一般的とは言えませんでした。


その後、より安全なパスワードの必要性が出てきました。単にパスワードが軍事機密や銀行口座といった重要な情報を保護しているというだけでなく、アカウントの悪用を目指すハッカーによるコンピュータセキュリティに対する脅威が増えていったためです。


長年に渡り、多くの人々が複数のWebサイトやサービスで同じユーザ名とパスワードの組み合わせを使い回していましたが、繰り返される著名企業でのデータ漏洩に伴いユーザ名とパスワードの組み合わせも漏洩し、ハッカーがクレデンシャルスタッフィング攻撃と呼ばれる技術で漏洩したログイン情報を悪用するようになったのです( https://www.intego.com/mac-security-blog/what-is-credential-stuffing-why-you-need-unique-passwords/ )。


自動的に数百万の単語やよく使われるパスワードなどを試すことから総当たり攻撃や辞書攻撃とも呼ばれる、クレデンシャルスタッフィング攻撃を使ったアカウントに対するハッカーのアクセスを防ぐには、強力でかつサービス毎に異なるパスワードが必要になります( https://www.intego.com/mac-security-blog/4-tips-for-creating-secure-passwords/ )。


ハッカーがアカウントへの侵入技術を進化させて危険が高まるに連れ、今やもっと強固なセキュリティ認証方式が必要とされる時代が来ました。かなりの数の人が多要素認証は当然として、さらにセキュリティを向上させるために現時点で高い効果が期待できる唯一の方法でもある長い疑似乱数を使ったパスワードを生成するパスワードマネージャを併用していますが( https://www.intego.com/mac-security-blog/how-to-choose-the-right-password-manager-for-you/ )、それで手順がどんどん煩雑になってしまうことも確かです。そのためコンピュータユーザの過半数は、まだ安全ではないパスワードを複数のサイトで使い回している上に多要素認証(MFA)も利用していないのです。


多要素認証あるいは二要素認証(2FA)はハッカーによるアカウントへのログインを阻止するために開発された技術で、ユーザ名およびパスワードといったユーザが知っている情報とSMSで受け取ったりAppで生成したコードのようにユーザが持っている情報、または個人を特定できるFace IDやTouch IDといった生体認証を組み合わせるものです。しかし被害者と本物のサイトの中間者としてフィッシングサイトを利用するような攻撃においては、ある種の2FAはアカウントを保護する完全な手段にはなりません{Intego Mac Podcastのエピソード283で触れています( https://podcast.intego.com/283 )}。とは言え、不完全であっても2FAを使わないよりは2FAを使った方が安全なことは明らかです。


二要素認証も改良されており、最近では物理的なセキュリティキーを使用することもあります( https://www.intego.com/mac-security-blog/how-to-use-a-security-key-to-protect-sensitive-online-accounts/ ); そして、お使いのiCloudアカウントを保護するためにもセキュリティキーが使えます( https://www.intego.com/mac-security-blog/how-to-protect-your-apple-id-account-with-security-keys-on-iphone-ipad-or-mac/ )。


◾パスワードなしのログイン


Webサイトやサービスによってはアカウントに対するユーザ名とパスワードの登録は必要ですが、実際のログインでは別のデバイスを利用することでユーザ名とパスワードを使わないログインが実現している場合もあります。例えば、Microsoftの認証ではスマートフォン上の同社のAuthenticator Appを利用するので、ログインにパスワードは要りません( https://www.microsoft.com/en-us/security/business/solutions/passwordless-authentication )。ユーザ名とパスワードを使って設定を完了しておけば、セキュリティチャレンジに対応するだけでMicrosoftのサイトやサービスにログインできるようになります。具体的には、Webサイトに表示された2桁の番号をApp内で選択するように指示されます。するとMicrosoft Authenticator Appのダイアログには3つの選択肢が表示されるので、正しい項目をタップすればAppがサイトあるいはサービスと通信して本人であることを認証するという仕組みです。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/microsoft-authenticator.jpeg


現時点では、この認証方式がパスワードなしでサイトやサービスにログインできる唯一の方法です。この方法では、Appで確認した既存のユーザ名とパスワード、そしてお使いのiPhoneでのFace IDかTouch IDといった生体認証を利用しています。パスワードは必要ではありますが、毎回ログインの度に入力する必要がないので長くて安全なパスワードを採用しやすくなるでしょう。なお、これらのサイトやサービスにユーザ名とパスワードの組み合わせでログインすることもまだ可能です。


◾パスキー: パスワードなしの次のレベル


一方、パスキーはさらに進んだ技術です。Googleは「パスキーは、ユーザー アカウントとウェブサイトまたはアプリケーションに関連付けられたデジタル認証情報です」としています( https://developers.google.com/identity/passkeys?hl=ja )。パスキーには、アカウント名やアカウントの認証鍵といったユーザを特定するために必要なすべての要素が含まれています。


Appleは「パスキーはWebAuthenticationあるいはWebAuthn標準を採用しており、公開鍵暗号を使います。単語や文字列の入力を利用するのではなく、すべてのアカウントのために独自の暗号化鍵ペアを生成する」としています( https://developer.apple.com/videos/play/wwdc2022/10092/?time=630 )。こうした暗号鍵は、ユーザが知る必要のない非常に長い文字列です。


認証は自分自身であることを証明したスマートフォンを介して行われ、パスキーを使ってサイトやサービスにログインする度にこの自分のスマートフォンの生体認証で自身を証明してサイトあるいはパスワードにパスキーを送信します。パスキーは、お使いのスマートフォンを物理的なセキュリティキーとして使う技術と言い換えることもできるでしょう。


パスキーはバックアップしたり同期したり、新しいデバイスに移行させることができる上に、エンドツーエンドで暗号化されます。特定のサイトあるいはサービスのためにパスキーを保存すると、同じパスワードを共有する別のデバイスでも利用できるようになります。Appleのデバイスの場合、パスキーはiCloud Keychainを使って同期され( https://www.intego.com/mac-security-blog/mac-and-ios-keychain-tutorial-how-apples-icloud-keychain-works/ )、同じiCloudアカウントにサインインしたすべてのAppleデバイスからアクセスが可能となります。


1台のデバイスを別のデバイスにログインするために使うことで、パスキーを自動実行させることもできます。Apple、Google、そしてMicrosoftは、すべてFIDOアライアンス( https://fidoalliance.org/ )のメンバーなので、パスキーに関して本当のクロスプラットフォーム互換が実現します。お使いのiPhoneでWindowsコンピュータのサイトやサービスにログインしたり、Androidフォンでお使いのMacにログインすることもできます。これはCTAP2あるいはClient to Authenticator Protocol 2( https://en.wikipedia.org/wiki/Client_to_Authenticator_Protocol )と言う仕組みで、お使いのスマートフォンからログインしようとしているもう一方のデバイスへ認証を移行するためにデバイス間で通信する方法の一つです。


この新しいパスキーという技術を統括するFIDO Allianceが、パスキーが実際にどう使われるかを動画で紹介しています ( https://www.youtube.com/watch?v=SWocv4BhCNg )。


◾Mac、iPhone、そしてiPadでのパスキーの動作


Appleのオペレーティングシステムがパスキーに対応しているのは素晴らしいことですが、対応するサイトあるいはサービスがまだまだ少ないのが現状です。パスワードマネージャのメーカである1Passwordは、現時点でサインインあるいは多要素認証の方法としてパスキーに対応するサイトの一部をPasskeys.directoryと言うページにリストしています( https://passkeys.directory/ ) 。


2023年初頭の時点でパスキーに対応するサイトの中には、Best Buy、Cloudflare、eBay、Kayak、そしてPayPal(米国)など注目に値するものもあります。


こうしたパスキーに対応するサイトの一つであるeBay(米国)で、パスキーを設定する手順を見てみましょう。お使いのeBayアカウントの設定画面にある“Sign-in and security”を開き、Passwordの部分を見るとパスキーという用語は出てこないのですが実際にはパスキーを設定する次の画像のようなオプションがあります。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay1.png

注意: eBayのパスキーを有効にする設定にはパスキーという用語は使われていません。


Turn Onをクリックすると、Safariが次の画像のようなダイアログを表示します:

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay2.png


この設定が完了すると、次回からeBabyにサインインしようとすると次の画像のような画面が表示されます:

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay3.png


ここでSign InをクリックするとSafariが次のようなダイアログを表示します:

Do you want to sign in to "ebay.com" with your saved passkey for "user's name"? Continue with Touch ID or Other Sign In Options

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay4.png


続いてデバイスで認証をします  — この私の例ではMacのTouch IDを使います — すると即座にログインできるわけです。


これでSafariの設定にあるパスワード画面を見れば、eBay用のパスキーが保存されています。ただし、パスキーの中身を見ることはできません。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/03/ebay5.png


このパスキーはデバイス間で同期されますので、お使いのiCloudアカウントにサインインしているすべてのデバイスから利用できるようになります。


◾パスキーの長所と短所


パスキーには、多くの利点があります。実用上は、強力なパスワード、パスワードマネージャ、そして生体認証を使う従来の個人認証方式と大差がないため、ユーザから見れば特に複雑になったという印象はありません。その価値に気付きさえすれば、すぐに慣れて普及していくでしょう。


パスキーによって、文字数、大文字、そして記号といったパスワードの条件からも解放され、パスワードを記憶しておく必要もなくなります。ただしパスワードが全くなくなるというわけでもありません: お使いのコンピュータにログインするためのApple、Google、あるいはMicrosoftアカウント用のパスワードは今後も必要ですし、スマートフォンのパスコードも必要です。


パスキーは同期、バックアップ、そして書き出しおよび読み込みができるので、利用できるデバイスが1台だけに制限されません。クロスプラットフォームというFIDO標準による方針と主要なオペレーティングシステムのメーカによる協力があるので、今後も過去のVHS対ベータマックス戦争のような図式は生まれません。すべての人の目標が、共通の標準仕様で一致しています。


セキュリティの観点から見ると、パスキーがあればフィッシングは理論上不可能となります。Webサイトは証明書で自身を証明しているため、どんなに本物そっくりに見えようが一致する証明書を持たない偽サイトがパスキーを受け取って本当のサイトに転送するということはできないからです。


とは言え、現時点ではパスキーに対応するWebサイトおよびサービスであってもパスキーあるいはユーザ名とパスワードの組み合わせのどちらでもログインが可能なので、後者を悪用したハッキングおよびフィッシングがあり得るという事実には注意が必要です。


お使いのiCloudアカウント、あるいはAndroidまたはWindowsの同様のアカウントにログインできなくなったら、パスキーにアクセスすることももう一切できません。1Password( https://www.future.1password.com/passkeys/ )やDashlane( https://support.dashlane.com/hc/en-us/articles/7888558064274-Passkeys-in-Dashlane )のようなパスワードマネージャ( https://www.intego.com/mac-security-blog/how-to-choose-the-right-password-manager-for-you/ )の一部は、パスキー対応を発表しています; 今後は、オペレーティングシステムの提供者だけがパスキーにアクセスできるのではなく、他のアクセス方法も可能になることが重要だと思われます。


最後に、パスキーは個人のものなので、社員によるサイトやサービスへのアクセスを管理する必要がある企業などでは問題が起きる可能性があります。企業のIT担当者はユーザのパスキーにアクセスできないため、その利用を制御することもできません。企業がこうした認証管理方式を導入するには、さらなる技術開発が必要です。


パスキーは現在の認証方式に対して非常に優れた改良であり、将来的にユーザがパスワードを作成して記憶する苦労から解放される可能性を持っています。パスキーは生まれたばかりだということを考えれば、今は様々な弱点があるにしてもいずれはパスワードを置き換えることが大いに期待できます。


◾お使いのMacは安全ですか?


Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego

添付ファイル エリア

YouTube 動画 Marx Brothers: Horse Feathers - Swordfish をプレビュー

https://www.youtube.com/watch?v=ySqec8WrEQQ&t=10s

Marx Brothers: Horse Feathers - Swordfish

YouTube 動画 Passkeys in Action をプレビュー

https://www.youtube.com/watch?v=SWocv4BhCNg&t=8s


Passkeys in Action


【Intego + act2 による補足】


パスキーは、サイトやアプリにログインする場合に、これまでのようにIDとパスワードの

組み合わせではなく、IDと生体認証を搭載したスマホで本人確認をしてログインするとい

うのが基本コンセプトです。


よって、手順としては、ログインの際にスマホのSMSなどにセキュリティコードが送られてくる二要素認証と似ていますが、パスキーの方は認証の完了しているあらゆる端末からアクセス可能であるという点で利便性が高いです。


また、二要素認証の場合は認証情報を偽のサイトから本物のサイトに転送して第三者が本物のサイトにログインできてしまう中間者攻撃があり得ますが、パスキーではサイトと端末が直接通信しなければならないので、現状の中間者攻撃は不可能という点も大きな利点です。


(EOF)