先月末、筆者のメイン証券口座にログインしたところ、画面いっぱいに「至急、ログイン方式の見直しをお願いします」といった大きな警告文が表示されていた。複数の大手証券で“なりすまし取引”が報じられた矢先だったので、ここもかと思いながら、パスワードだけで運用している口座が集中的に狙われているとのことで、スマートフォンの生体認証と連動するFIDOパスキー認証の設定に誘導された。
設定作業はそれほど難しくはなく、証券会社のアプリで「パスキーを追加」を選び、顔認証を一度通すだけ。以降は「アプリ起動→顔認証ワンタップ」で取引画面が開き、IDもパスワードも求められない。一瞬面倒だなと思いつつも、設定後の心理的な安心感は段違いで、むしろ設定していないことを想像すると、恐怖すら感じたというのが、率直な感想だ。
フィッシングとマルウェアは待ってくれない
フィッシング対策協議会によれば、今年 3 月の詐欺報告件数は 25 万件近くに達し、過去最高を更新したという。届いたメールのリンクをクリックすると本物そっくりのログイン画面が現れ、入力した ID とパスワードがそのまま攻撃者の手に落ちる。加えて、端末に潜むマルウェアはブラウザに保存された認証情報を静かに吸い上げる。実際、国内主要企業の 2 割超が情報漏えいを経験しているという調査結果もある。”パスワード”だけでは守り切れない時代になったのは疑いようがない。
「多要素認証」すら万能ではない
秘密の質問や SMS コードを組み合わせる 2 段階認証を導入している人も多いが、いずれも“知識要素”や“使い回される番号”に寄りかかった仕組みが多い。攻撃者がパスワードを突破できれば、同じ手法で「2 枚目の壁」も崩れてしまう。
パスキー認証は、端末内で生成した秘密鍵を外へ出さず、利用者は端末ロック(顔や指紋)を解くだけでログインが完了する。公開鍵だけがサービス側に渡るため、たとえ攻撃者が通信経路を支配しても利用できる情報は残らない。つまり「盗んでも役に立たない」仕組みが根本的な違いだ。
証券会社の導入は氷山の一角──ECサイトこそ急務
証券口座の乗っ取りはニュースとして大々的に取り上げられたが、ECサイトの不正ログイン被害も急増している。実際、クレジットカード取引に関わる事業者が実施すべきセキュリティ対策を定めた「クレジットカード・セキュリティガイドライン」でも、不正ログイン対策が新たに義務付けられた。真正ユーザーのアカウントに不正にログインされてしまうと、真正ユーザーアカウントのため不正検知も難しく、EMV-3Dセキュア認証でも、フリクションレスで通過してしまう可能性も高い。
結果、裏側で不正が急増すると、カード会社の負担増につながり、オーソリ承認率の低下など副作用も出てしまう。
またECサイトの場合は、気づけば不正注文を取り消せば済むと誤解されがちでもあるが、デジタルコンテンツやギフトコードのように即時引き渡し型の商品では取り消しすら追いつかず、資産流出の構図は証券取引とほとんど変わらない。
つまり、ECサイトこそ、早期にパスキー認証を導入すべきであると筆者は考える。
まとめ──パスキー認証は“保険”ではなく“標準装備”
証券口座での体験がきっかけとなり、パスキー認証の実力を身をもって知った。パスワードを盗まれた瞬間にビジネスが止まる──そんなリスクを抱え続ける理由はもはやない。ECを営む事業者は、ユーザーと自社の双方を守るため、そして離脱率を下げるためにも今すぐパスキー認証の導入計画をスタートすべきだ。パスワードの呪縛から解放された未来は、思ったより簡単に手に入るというのが、筆者の率直な感想だ。