はじめに:なぜ今、セキュリティ強化が必要なのか
スマートフォンを使った便利なサービスが増える一方で、偽のメールや偽のサイトを使って“だまし取る”フィッシング詐欺が後を絶ちません。
近年は「〇〇銀行を装ったメールでログイン情報を盗む」「大手通販サイトを装い、カード番号を入力させる」など、高齢者の方をねらった手口も目立っています。
被害にあうと、預金や個人情報が抜かれてしまう恐れがあります。
そこで、パスワードに代わる**新しい認証(ログイン)方法「パスキー」**が注目されています。
「むずかしそう…」と思われるかもしれませんが、仕組みをかみくだいてお伝えしますので、ぜひ最後までお読みください。
パスキーとは?──「鍵と封筒」でイメージしよう!
パスキーは、文字を覚えて入力するパスワードとは違い、「スマホだけで完結する鍵のしくみ」です。
主な登場人物はこの3つ。
- 秘密の“鍵”(マスターキー)
- スマホの中だけにしまっておく、あなただけの大切な鍵
- 公開する“仕分け箱”
- 鍵に対応する箱
どこに置いても大丈夫で、サービス側(銀行や通販)が持ちます
- 鍵に対応する箱
- 使い切りの“問いかけ封筒”
- 「あなたは本物ですか?」という一度きりのメッセージ
パスキーの仕組みを、「秘密の“鍵”(マスターキー)」「公開する“仕分け箱”」「使い切りの“問いかけ封筒”」の3つのイメージを使って具体的にご説明します。
まず、端末(あなたのスマホなど)の中には、あなた専用の「秘密の“鍵”(マスターキー)」が作られます。
この鍵は、家でいえば金庫室のように堅牢に守られており、スマホやパソコンの外に持ち出すことは決してできません。
あなた自身が顔認証や指紋認証、あるいは画面ロック用の数字入力(PIN)を行わない限り、中から取り出すことすら許されない仕組みです。
サイバー攻撃などにあってスマホやパソコンが乗っ取られたとしても、生体認証でしか開くことができない場所に保管されているこの鍵は盗むことができません。
一方、サービス側のサーバーには「公開する“仕分け箱”」が用意されます。
これはあなたの秘密の鍵とぴったり合う形をした箱で、誰に見られても構わない「公開鍵」がこの箱にしまわれています。
箱の中身(公開鍵)だけをサーバーが持つことで、万が一箱ごと覗かれても、秘密の鍵(あなたの端末内にある鍵)そのものは一切漏れず、安全性が保たれます。
ログイン時には、サーバーから「使い切りの“問いかけ封筒”」があなたの端末に送られてきます。
この封筒には「あなたは本物ですか?」という一度だけ有効な問いかけが書かれており、開封するとその問いかけ内容に対して秘密の鍵で「本人です」というスタンプ(電子署名)を押すことができます。
ただし、スタンプを押せるのは顔認証や指紋認証、PIN入力で本人確認を通過した場合のみです。
最後に、スタンプ付きの封筒をサーバーに返送すると、サーバーは仕分け箱を開けてスタンプの正しさを確かめます。
公開鍵(箱の仕分け箱)でスタンプが有効と判定されれば、無事ログイン完了となります。
なぜフィッシングに強い?──パスワードとの違い比較
パスキーがフィッシング詐欺に強い3つの理由
1.ドメイン(銀行や通販のサイトの住所)をチェックする!
秘密のカギには「どのサイト向けに作ったか」という情報がくっついています。
たとえ見た目がそっくりでも、別の住所(ドメイン)の偽物サイトではカギが開かない仕組みです。
2.秘密のカギは端末から出ない!
サーバーに渡すのは「仕分け箱」だけ。
秘密のカギそのものはスマホやパソコンの中に閉じ込められ、外には絶対に出ません。
もしサーバーがハッキングされても、盗まれるのは意味のない「仕分け箱」のみです。
秘密鍵は生体認証やPIN(4桁の番号)でしか呼び出せない!
- 端末内の「安全な領域」(Secure Enclave/TPM)
パスキーの秘密鍵は、iPhoneならSecure Enclave、WindowsならTPM(セキュア・プラットフォーム・モジュール)など、OS本体やアプリからは直接アクセスできない「ハードウェアレベルの安全領域」に保管されます。 - ユーザー認証(生体 or PIN)
秘密鍵による「署名処理」を行うには、必ず端末ロック解除と同じ方法での本人認証が必要です。- iOS/Android :Face ID(顔認証)/Touch ID(指紋認証)/端末PIN
- Windows Hello:カメラや指紋リーダー、PIN
この認証が通らないと、秘密鍵は「封印」されたまま解除できず、どんなアプリやウイルスも秘密鍵を使えません。
3.チャレンジ(問いかけ封筒)は毎回変わる!
一度使った封筒は二度と使えない「使い切り」。
たとえ封筒を誰かに見られても、次の封筒を勝手に作れないので、盗み見ても無駄です。
パスワードとパスキーの比較
| 比較ポイント | パスワード | パスキー |
|---|---|---|
| 覚える手間 | 文字や数字を自分で覚える必要あり | 顔・指紋・PINで完了 |
| 漏えい時のリスク | 漏れると何度でも使われる | 公開鍵だけがサーバーにあり、秘密鍵は漏れない |
| フィッシング耐性 | 偽サイトに入力すると盗まれる可能性あり | ドメインが違うと鍵を使わせない |
| 操作時間 | 入力に時間がかかる | ワンタップでログイン |
図解:パスキーでログインするイメージ
使い方:設定からログインまで
パスキーを使うには、対応するサービス(銀行アプリや通販サイトなど)で「パスキー登録」ができるかどうかをまず確認します。
登録から実際のログインまでの流れは、以下のとおりです。
- 対応状況をチェック
- サイトやアプリのログイン画面で「パスキーでログイン」や「生体認証で登録」といった文言があるかを探します。
- 見つからない場合は、そのサービスはまだパスキー非対応です。
そのときは従来のパスワードや二要素認証(パスワード+ワンタイムコードなど)を使い、パスキー対応後に切り替えを検討しましょう。
- パスキーを登録する
- 対応している場合は、ログイン画面や「設定」→「セキュリティ」の項目から「パスキーを追加」や「生体認証で登録」を選びます。
- スマホの顔認証(Face ID)や指紋認証(Touch ID)、あるいは画面ロック用の数字(PIN)を求められますので、画面の案内に従って本人確認を行ってください。
- これだけで、スマホ内に「秘密の鍵(マスターキー)」が作られ、サービス側には「公開する仕分け箱(公開鍵)」だけが登録されます。
- ログインしてみる
- 次回からはログイン画面で「パスキーでログイン」を選びます。
- 自動でスマホが起動し、再び顔認証・指紋認証・PIN入力で本人確認を行うだけ。
- 成功すると、パスワードを入力しなくてもスムーズにサインインできます。
- 未対応サービスとの併用
- すべてのサイトがまだパスキーに対応しているわけではありません。
未対応の場合は従来の方法でログインしつつ、対応が始まったタイミングで再度パスキー登録をご検討ください。
- すべてのサイトがまだパスキーに対応しているわけではありません。
まとめ:高齢者の皆さまにも安心の理由
パスキー(スマホだけで使える新しい「鍵」の仕組み)は、従来のパスワード認証が抱えていたいくつもの弱点をしっかりと補ってくれます。
まず、端末がアクセス先のドメイン(サイトの住所)を厳密にチェックし、一致しない偽サイトでは秘密鍵(プライベートキー)を一切使わないため、フィッシング詐欺(見た目が本物そっくりの偽サイトに情報をだまし取られる手口)を確実に防ぎます。
さらに、サーバーが送るチャレンジ(一度きりの問いかけ)に秘密鍵で電子署名する仕組みなので、盗まれた署名を再利用されるリプレイ攻撃(盗んだ情報を繰り返し使う手口)にも強い耐性があります。
加えて、鍵ペア(秘密鍵と公開鍵のセット)はサービスごとに別々に作られるため、あるサイトで鍵が漏れても他のサイトにはまったく影響しません。
ただし、パスキーはまだ導入が進んでいる最中の技術です。
対応していないサイトもありますので、その場合はこれまで通りのパスワードや二要素認証(パスワード+ワンタイムコードなど)と併用し、対応サイトが増えたタイミングでパスキーへの切り替えを検討されると安心です。
