パスワードレス化が進まないのはなぜ？ 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー

パスワード認証に限界が見えてきた

　はい、「パスワードレス」というのはもうずいぶん長いこと言われている課題ですが、そもそも、なぜパスワードレスと言われるのかという話から始めたいと思います。

　まず、認証方式として長く使われているパスワード認証ですが、なぜ使われ続けているかというと、良いところがたくさんあるからです。実装が簡単であるとか、パスワードの桁数を増やせば安全性を高められるとか、様々なデバイスで用いることができるとか。

　一方、パスワード認証を使うサービスが世の中に増えてきたことと、それを利用する層が老若男女に広まったことで、問題点も明らかになってきました。1つ目は、どうしても安易なパスワードをつけてしまう人がいる点。たまに「芸能人や有名人のアカウントが不正ログインされた」というニュースがありますが、この大多数は、安易なパスワードをつけていた、たとえば誕生日や本名をパスワードにしていたことなどが原因ですね。で、たまにこういうパスワードを推測するのが上手な人がいる。パスワードを当てられたことに快感を覚えて、次から次にやってしまうなんて人も出てきています。

　また、従来から「パスワードリスト攻撃」という攻撃もあります。Webサイトなどに不正侵入されて、その際に漏洩したIDやパスワードがブラックマーケット、つまりダークウェブなどで流通しており、購入できるわけですね。それで、買ったIDとパスワードを使って関係ない別のWebサイトで不正ログインを試みる。別のサイトなので、買ったIDとパスワードが当たるかっていうのはまあ様々なんですが、実は結構当たるということがわかってきました。これが2010年ぐらいから段階的に増えてきて、2012年になると、いわゆるパスワードの使い回しは漏洩の大きな原因になっています。

　これに対し、IPA（情報処理推進機構）は「パスワードの使い回しは危険なのでやめよう」というキャンペーンを大々的に行い、原宿に巨大な看板を立てて話題になったりもしましたが、実際のところ全然効果がなかったようで、パスワードの使い回しはもう止められないことがわかってきました。

　あとはフィッシングですね。メールやショートメッセージで、たとえば「宅配の荷物をお届けに上がりましたが、不在だったので持ち帰りました。こちらに連絡ください」みたいなURLが貼ってある。で、何事かと思ってそのURLを開くと、「オンラインバンキングの不正が行われているのでログインして確認しろ」みたいな画面が出てくる。そこでIDとパスワードを入力するとこれが偽サイトで、そのままIDとパスワードが盗まれてしまいます。場合によっては、クレジットカード番号が盗まれてしまうこともあります。

　攻撃の手法には、ここまで紹介したような稚拙なものも実はたくさんあって、これらはメールやメッセージをよく見ていれば、全然辻褄が合っていないことに簡単に気付けます。もちろん、マスコミなどがよく取り上げるような非常に精密な攻撃手法もありますが。ただ、稚拙なものでもかなり騙される人がいるということがわかってきたんですね。

　たとえばフィッシングというのは、インターネットの利用が始まった20年以上前から存在しますが、一向に利用者側の対策は進みません。ですから「もう無理」ということで、フィッシングに強い認証方式へ移行しなければいけない状況になっています。

　整理すると、パスワード認証というのは原理的にはそう悪くない認証方式だったはずなのですが、3つの問題があります。

　いずれかに当てはまれば、もう不正ログインされてしまいます。今どきはQRコード決済などが普及しているため、パスワードが破られると現金被害に直結してしまうかもしれません。あるいは個人情報が漏洩したことや、漏洩したことによる精神的ショックですね。これも非常に大きいでしょう。