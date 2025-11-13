IDとパスワードの代わりに「パスキー認証」を導入する大手証券会社が相次いでいる。一体なぜなのか。ITジャーナリストの鈴木朋子さんは「サイバー攻撃の手口が巧妙化し、従来のIDとパスワードではセキュリティを担保することが難しくなっている」という――。

写真＝iStock.com／guvendemir ※写真はイメージです - 写真＝iStock.com／guvendemir

■不正アクセス被害は3カ月で954億円

2025年10月、大手証券会社の楽天証券とSBI証券、野村證券、マネックス証券が立て続けに「パスキー認証」を導入した。三菱UFJモルガン・スタンレー証券も2026年3月末までにパスキー認証を段階的に導入する。証券口座の不正取引に歯止めをかけるための対応だ。

金融庁は2025年4月、ネット証券口座を狙った不正アクセス・不正取引の被害が急増していることを発表した。実在する証券会社のWebサイトを装ったフィッシングサイトにより、ログインIDやパスワードを窃取される。その情報により、犯罪グループは顧客になりすましてログインし、株式や投資信託を勝手に売却するなどの操作を行う。

被害は2025年2月から4月16日までの約3カ月間で計1454件、被害総額は売却額と買付額をあわせて約954億円に上っている。

金融庁「不正アクセス・不正取引の被害」より

被害が拡大している背景には、新NISA（少額投資非課税制度）の開始に伴い、新たに投資を始める個人投資家の増加も一因として挙げられる。犯人グループは証券口座を開設して間もない人に対し、大手証券会社を名乗り、「登録口座確認のお願い」などのメールを送り付け、フィッシングサイトにアクセスさせる。

■パスワードが「唯一の命綱」のはずが…

IDやパスワードは、上記の「フィッシング詐欺」のほか、「マルウェア感染」（パソコンのウイルス感染）、「リスト型攻撃」（他サービスから漏えいしたIDとパスワードの漏えい）から流出する。リスト型攻撃では、匿名性が高いネット空間「ダークウェブ」で売買されている証券口座のIDとパスワードが悪用されることもある。

サイバー攻撃の手口が巧妙化している現代において、IDとパスワードだけでセキュリティを担保することは難しい。特にIDにメールアドレスや携帯電話番号を使うサービスの場合、パスワードが唯一の命綱になってしまう。

しかし、個人が管理すべきパスワードの数は多く、すべてを覚えておくことは現実的ではない。ログインするたびにパスワードを1文字ずつ入力する手間も負担だ。そこで、人々は安易に思い出せるパスワードや打ち込みやすいパスワードを選択してしまう。

■日本人が利用しがちなパスワードTOP5

リトアニアのセキュリティ企業Nord Securityが発表した「Top 200 Most Common Passwords」によると、2024年に日本において個人がもっとも利用したパスワードの1位は「123456789」だという。2位は「password」、3位は「12345678」と、驚くほど単純なパスワードが使われている。また、4位「1qaz2wsx」と5位「asdfghjk」は、キーボードの配列上打ち込みやすい文字が選択されている。

本調査では、企業でもっとも使われているパスワードも確認できる。日本においては、1位「password」、2位「12345678」、3位「123456789」、4位「1qaz2wsx」、5位「asdfghjk」と、個人とまったく同じ顔触れとなっている。

これらのパスワードをハッカーが解読するのにかかる時間は、わずか「1秒」だという。こうした例を見て、自分が使っているパスワードと同じだと冷や汗をかいている人もいるだろう。これでは、あっという間にパスワードが破られてしまうのも当然だ。

日本において個人がもっとも利用したパスワード（NordPass「Top 200 Most Common Passwords」より）

では、どのようなパスワードを設定すれば安全なのだろうか。アメリカの商務省に属する政府機関「米国国立標準技術研究所（NIST）」は2025年8月、パスワード認証のガイドラインを更新した。このガイドラインは、パスワードを設定させる企業などが設計を行う際に、ユーザーに対してどのようにパスワードを求めるべきかを示している。

■効果が乏しい「秘密の質問」は禁止に

ガイドラインによると、これまで推奨していた大文字と小文字、数字、記号を組み合わせたルールはあまり効果がないとされている。また、定期的なパスワード変更を求める義務付けを廃止、パスワードを忘れた場合の「秘密の質問」も禁じた。

組み合わせを求められたユーザーは「1」などの単純な文字を足すことが多いこと、定期的なパスワード変更を求めると覚えやすい簡単なパスワードを作りがちであること、「秘密の質問」は本人以外の家族なども答えられること、などの理由が推測される。

そして、パスワードの文字数を増やすことを推奨している。パスワードのみで認証する場合は15文字以上とし、多要素認証と併用する場合は8文字とされている。また、脆弱なパスワードを集めた「ブロックリスト」を導入し、ユーザーが簡単なパスワードを設定しようとしても拒否することを勧めている。

サービスの利用者としては運営側が決めたパスワードのルールに従うほかないが、今後ガイドラインに沿って改善される可能性がある。現状我々ができることは、ルールのなかでできるだけ長いパスワードを設定し、安全性を高めることだ。

過去に自分のパスワードが漏えいしているかは、サイバーセキュリティ専門家のTroy Hunt氏が運営する「Have I Been Pwned（HIBP）」にメールアドレスを入力すると確認できる。すでにパスワードが流出してしまっている人は、被害に遭う前に長いパスワードに変更してほしい。

「Have I Been Pwned」で流出しているかどうか確認できる〔「Have I Been Pwned（HIBP）」より〕

■パスワード＋αで防御する「多要素認証」

先ほど、「多要素認証と併用する場合は8文字」という指針を紹介した。多要素認証とは、パスワードという1つの要素ではなく、複数の要素を使って認証を行う方法だ。ドアに鍵だけではなく、中の人しか開けられないドアガードをつけるようなイメージだ。

本人確認を行うための要素は3つある。「知識情報」（パスワード、PINコード）、「所持情報」（スマホ、PC、セキュリティキー）、「生体情報」（指紋、顔、虹彩）だ。このうちの2つ以上を使うと多要素認証となる。2つ使う場合は「二要素認証」とも呼ばれる。

例えば、Webサイトにログインするとき、IDとパスワードを入力した後でワンタイムパスワードが送信されてくることがある。これは、「知識情報」と「所持情報」を使って多要素認証を行っている。また、IDとパスワードを入力した後、顔認証を求められることもあるだろう。これも、「知識情報」と「生体情報」を使っているため、セキュリティの高い認証方法となる。

■「二段階認証」といったい何が違うのか

二段階認証との違いは、要素が2つ以上であるということだ。二段階認証とは、IDを入れた後でパスワードを入れるといった、1つの要素を2段階で認証する場合を指す。ただし、サービスによっては「二要素認証」でも「二段階認証」と表示するなど、混同されていることも多い。

あらためて、自分がよく利用するサービスが多要素認証を提供しているかどうか、一度確認してみてほしい。設定で「アカウント」などのメニューを見ると、用意されていることがある。多要素認証を設定しておけば、パスワードが流出してしまっても、別の認証方法ではねられる。

しかし、多要素認証のセキュリティレベルには差がある。SMSにワンタイムパスコードが送られてくるケースでは、送られてくるコードを他人に口頭で伝えてしまったためにアカウントを乗っ取られるケースも起きている。また、ワンタイムパスコードを偽サイトに入力してしまうミスも生じる。パスワード単体よりもはるかに安全だが、残念ながら万全とは言えない。

■パスワード不要の次世代認証「パスキー」

それでは、冒頭で述べた証券会社が対応した「パスキー」とは何だろうか。

パスキーは、FIDO（Fast IDentity Online）アライアンスとW3C（World Wide Web Consortium）によって策定された国際的な規格「FIDO2」による認証だ。パスワードを使わず、セキュアな認証を行う。

パスキーを登録すると、IDを入力後、顔認証やPIN（コード）の入力だけでログインできる。あまりにもシンプルであるため、本当にセキュリティが守れているのか不安になる人もいるが、実際には複雑な仕組みで認証を行っている。

ここでは大まかに仕組みを説明する。パスキーを登録すると、サービスはFIDOサーバーに登録要求を送り、チャレンジコードと呼ばれるランダムな文字列を生成して返す。スマホやPCは「秘密鍵」と「公開鍵」という2つの鍵を作る。秘密鍵とチャレンジコードにより生成されたデジタル署名と公開鍵がFIDOサーバーに送られると、登録が完了する。

実際にログインするときも、サービスはFIDOサーバーからチャレンジコードを受け取る。スマホやPCに保存されている秘密鍵を生体認証などで取り出し、秘密鍵とチャレンジコードでデジタル署名を生成、サーバーにある公開鍵と検証し、正しければログインできる。

■少ない負担で強固なセキュリティを確保

ポイントとしては、秘密鍵がスマホやPCの中に厳重に保管されていることだ。公開鍵が盗まれたとしても、秘密鍵とのペアでなければ認証できないため、ログインされない。もし端末を機種変更したとしても、クラウドによりパスキーを引き継げるように設計されている。

先ほどの多要素認証と照らし合わせると、パスキーの秘密鍵が「所持情報」にあたり、生体認証が「生体情報」にあたるため、パスキーも多要素認証のひとつと言える。PINの場合も「知識情報」との組み合わせになる。そのうえ、パスキーは高度な暗号技術により認証が行われている。

パスキーはパスワードを管理する負担がないうえに、強固なセキュリティを確保できる、まさに「未来の鍵」と言える。普段利用するサービスがパスキーに対応している場合は、すぐに登録することをおすすめしたい。

筆者撮影 Facebookもパスキーに対応している - 筆者撮影

鈴木 朋子（すずき・ともこ）

ITライター・スマホ安全アドバイザー

メーカー系SIerのSEを経て、フリーランスに。SNSなどスマートフォンを主軸にしたIT関連記事を多く手がける。10代の生み出すデジタルカルチャーを追い続けており、子どもの安全なIT活用をサポートする「スマホ安全アドバイザー」としても活動中。著作は『親が知らない子どものスマホ』（日経BP）、『親子で学ぶ スマホとネットを安心に使う本』（技術評論社）など多数。

（ITライター・スマホ安全アドバイザー 鈴木 朋子）