《パスワードレス広がる突破口になるか》証券口座乗っ取り｢日証協新ガイドライン｣フィッシングに耐性のある認証とは…本命のパスキーに課題も

なので、利用者は新たにカードリーダー等の機器を購入しなくても、容易にパスキーを利用できる。その流れに乗る形で、今回ガイドラインにパスキーが追加された。

「DMARCなどの送信ドメイン認証」とは？

フィッシングは多くの場合、偽メールを起点とする。そのため、偽メールを見分けるためにDMARCなどの送信ドメイン認証が必須になったのだが、こちらはあまり実効性がないのではないかと筆者は考えている。

DMACは、メールの送信者のアドレスが、その表記どおりのものであるかを認証する技術である。このため、偽メールが本物のメールアドレスを詐称して送ってきた場合は、メールソフトやGmailなどのメールサービスが偽物という判定をするため有効だ。

しかし、現実のフィッシングのメールは本物のメールアドレスを詐称せず、でたらめなアドレスを用いているものも多い。DMARCは送信元のアドレスを認証するため、もともとでたらめなアドレスから送ってきたメールに対するDMARC認証は容易に通せてしまう。

被害者の多くは本物のアドレスを覚えて確認しているわけではないので、でたらめなアドレスでも被害にあってしまう。このため、DMARCではフィッシングを十分に防ぐことは難しい。

一方、仮に偽メールを信じてログインしようとしても、パスキーであればログインはできないため、そこで被害を食い止めることができる。このような理由から、パスキー対応がフィッシングには最も効果的だと考えている。