created_at
updated_at
tags
toc

Passkey への道 #0: Intro

Intro

フィッシング詐欺や Infostealer を用いた金融サイトの乗っ取り詐欺などは、その被害総額が 5000 億円 を突破してもなお拡大し続けている。米国で発生した 2024 年のオンライン詐欺被害は 166 億ドル に達した。

証券や銀行サービスからは「FIDO 認証登録のお願い」のようなメールが絶えず届き、最近では Gmail のような 20 億以上のユーザがいる大手サービス や、警視庁サイバー犯罪対策課まで「Passkey を利用しましょう」と移行を促すアナウンスをするところまできている。

まだ、多くの人が "Passkey" という名前すら知らないか、聞いたことはあるがきちんと移行まではしていないという状況だろう。新しい技術とはいえ、Passkey の普及があと 1 年早かっただけで、防げた被害は計り知れないだろうと痛感する。

一方、Passkey を知っていながら、誤解のある人も少なくないようだ。

  • 複雑なパスワードを登録しているから移行する必要はない
  • 2FA を設定しているから必要ない
  • 登録したいサービスに、指紋を渡すのは嫌だ
  • Google や Apple に認証までロックインされたくない
  • 変なことしてログインできなくなるのが怖い
  • etc etc

また、移行する必要性を認識しながら、パスワードマネージャ等保存先が十分に浸透していなかったり、サービス側の Passkey 対応が普及途上な側面もある。

Passkey への道

今回から数回の連載形式で

  • なぜユーザは Passkey に移行しないといけなくなってしまったのか
  • なぜサービスは Passkey に対応しないといけなくなってしまったのか

といった部分を、認証を取り巻く様々な問題の歴史をたどりながら、連載形式で解説していきたい。

Passkey の解説といえば、多くの場合は「サービスにいかに実装するか」「API はどのように使うか」といった部分にフォーカスされがちだが、今回はそういった話を抜きにし、なるべくコードや仕様や専門用語を減らし、認証に詳しくないユーザや、一般ユーザにもギリギリ伝わるような解説を試みたい。