《パスワードレス広がる突破口になるか》証券口座乗っ取り｢日証協新ガイドライン｣フィッシングに耐性のある認証とは…本命のパスキーに課題も

今回の不正アクセス事件を受けて、証券業界は5月頃までに二要素認証を必須にしていた。ここで、二要素認証について説明しておこう。

一般に、認証には「認証の3要素」という3つのタイプがある。まず記憶認証。これは主にパスワードのことだ。2つ目は、例えば入館証などを所持していることで証明する、所持認証。3つ目が、顔や指紋や静脈などの生体認証。これら3要素のうち2つを組み合わせたものを二要素認証と呼ぶ。

一般には、一要素より二要素の方が安全だが、今問題になっているフィッシングに関しては二要素認証でも十分ではない。多くの証券会社では、二要素目として6桁程度の数字を入力させるのだが、利用者がこの番号を偽サイトに入力してしまったら、結局破られてしまうのだ。

新ガイドライン「フィッシング耐性のある認証」とは？

先述したように二要素認証はフィッシングに対しては十分な効果はない。現実に、オンラインバンクでは二要素認証の突破例が報告されている。

そのためフィッシング耐性のある多要素認証を義務付けたというのが、7月15日に発表された日本証券業協会の新しいガイドラインだ。この中で本命視されているのがパスキーという認証方式である。

パスキーは、よく生体認証という説明がされるが、実際には暗号技術を使ったデジタルな鍵による認証である。パスキーは秘密鍵というものがPCやスマホなどに入っており、認証の際にブラウザなどがその接続先を確認してから鍵を使うのでフィッシングに強い。違うサイトにはその鍵は使われないので、被害者がパスキーで偽サイトにログインしようと思っても、そこで止められる。

現在、AppleやGoogleなどのビッグテックが、新しいパスワードレスの標準としてパスキーを推進していこうという流れになっており、そのためブラウザにもパスキー対応の機能が組み込まれている。