【2025年最新】パスキーとは?パスワードより安全な次世代認証を現役CSIRTが解説

2025.07.08

最近、パスワードに代わる認証方式として「パスキー」が注目を集めています。マイクロソフトも2024年8月からパスキー移行を本格化させるなど、IT業界全体でこの流れが加速しています。

私は現役のCSIRT(Computer Security Incident Response Team)として、日々サイバー攻撃の対応にあたっていますが、パスワード関連のインシデントは本当に深刻な問題になっています。今回は、なぜパスキーがパスワードより安全なのか、そして個人や中小企業がどのようにセキュリティを強化していけばよいのかを詳しく解説します。

急増するリアルタイムフィッシング詐欺の脅威

2024年に入って特に問題となっているのが「リアルタイムフィッシング詐欺」です。従来のフィッシング詐欺と異なり、この手法では二段階認証すら無力化されてしまいます。

実際の被害事例をご紹介しましょう。ある中小企業の経理担当者が、銀行を装ったメールからフィッシングサイトに誘導されました。IDとパスワードを入力後、二段階認証のSMSも入力したところ、攻撃者がリアルタイムでその情報を使って正規サイトにログイン。わずか数分で企業の口座から数百万円が不正送金されました。

このような攻撃では、攻撃者は以下の手順で犯行を行います:

  • 偽メールやSMSでターゲットをフィッシングサイトへ誘導
  • 入力されたID・パスワードをリアルタイムで窃取
  • 即座に正規サイトにログインし、二段階認証も突破
  • ターゲットがまだフィッシングサイトにいる間に不正操作を実行

パスキーとは?次世代認証の仕組み

パスキーは、FIDO2(Fast Identity Online 2)という国際標準に基づいた認証技術です。従来のパスワード認証とは根本的に異なる「公開鍵暗号方式」を採用しています。

パスキーの認証フロー

  1. 登録時:ユーザーのデバイス内で「秘密鍵」と「公開鍵」のペアが生成
  2. 保存:秘密鍵はデバイス内の安全な領域に保管、公開鍵のみがサーバーに送信
  3. 認証時:サーバーからの暗号化チャレンジを秘密鍵で復号し、デバイスの生体認証等で本人確認

この方式の最大の特徴は、秘密鍵がネットワーク上を流れることが一切ないことです。つまり、フィッシングサイトに誘導されても、攻撃者が認証情報を窃取することは技術的に不可能になります。

パスワードとパスキーの決定的な違い

項目 パスワード パスキー
フィッシング耐性 ×(容易に窃取される) ○(技術的に不可能)
使い回しリスク ×(高リスク) ○(サイト固有)
ユーザビリティ △(記憶・入力が必要) ○(生体認証のみ)
サーバー側のリスク ×(ハッシュ化されても漏洩リスクあり) ○(公開鍵のみで無害)

実際の導入事例から見るセキュリティ効果

私がフォレンジック調査を担当した案件では、パスキーを導入していた企業とそうでない企業で、被害の差が歴然としていました。

パスキー未導入のA社では、社員の個人アカウントが乗っ取られ、そこから社内システムへの不正アクセスが発生。機密情報の漏洩と業務停止により、約3,000万円の損害が発生しました。

一方、パスキーを導入していたB社では、同様のフィッシング攻撃を受けたものの、認証情報の窃取が技術的に不可能だったため、被害は一切発生しませんでした。

パスキー導入のメリットとデメリット

メリット

  • 完全なフィッシング耐性:技術的に認証情報の窃取が不可能
  • 利便性の向上:パスワード記憶・入力が不要
  • 使い回しの根絶:サイトごとに固有の鍵ペアを生成
  • サーバー側の安全性:公開鍵漏洩でも被害なし

デメリット・注意点

  • 対応サービスの限界:まだ全てのサービスが対応していない
  • デバイス依存:登録デバイスを紛失すると一時的にアクセス困難
  • 移行期間の管理:パスワードとパスキーの併用期間が発生

個人・中小企業でのセキュリティ強化策

パスキーの導入と並行して、以下のセキュリティ対策も重要です:

1. 包括的なセキュリティソフトの導入

信頼性の高いアンチウイルスソフト 0を導入することで、フィッシングサイトへのアクセス自体をブロックできます。最新の脅威情報をリアルタイムで更新するタイプを選ぶことが重要です。

2. ネットワークレベルでの保護

特にリモートワークが増えた現在、VPN 0の利用は必須です。公衆Wi-Fiを使用する際の通信暗号化はもちろん、地理的制限を回避した攻撃からも保護できます。

3. 段階的なパスキー移行計画

いきなり全てをパスキーに移行するのではなく、重要度の高いサービスから順次移行することをお勧めします:

  1. 金融機関のオンラインバンキング
  2. クラウドサービス(Microsoft 365、Google Workspace等)
  3. SNSやECサイト
  4. その他のWebサービス

2024年のセキュリティトレンド予測

CSIRTとしての経験から、2024年後半から2025年にかけて以下の変化が予想されます:

  • 主要サービスのパスキー対応加速:Google、Apple、Microsoftに続き、国内サービスも対応拡大
  • 企業向けID管理システムの進化:Active DirectoryやAzure ADのパスキー統合強化
  • 攻撃手法の変化:パスキー普及により、攻撃者は他の手法(SIMスワップ、ソーシャルエンジニアリング等)にシフト

まとめ:今すぐ始めるべきセキュリティ対策

パスキーは確実にパスワードより安全で便利な認証方式です。ただし、移行には時間がかかるため、現在のセキュリティ対策も並行して強化することが重要です。

特に個人事業主や中小企業の方は、サイバー攻撃の標的になりやすい一方で、専門的なセキュリティ担当者がいないケースが多いです。だからこそ、信頼できるセキュリティツールと最新の認証技術を組み合わせた多層防御が必要なのです。

まずは対応しているサービスからパスキーへの移行を始めて、同時に基本的なセキュリティ対策を見直してみてください。サイバー攻撃は「自分は大丈夫」と思った瞬間にやってくるものです。

一次情報または関連リンク

元記事:今さら聞けない「なぜパスキーはパスワードより安全で便利なのか」

タイトルとURLをコピーしました