iOS16の新機能の1つとして、「パスキー」という新しい認証方法に今後切り替わっていく事をAppleは発表しました。
WWDC22の発表を聞いている限り、iPhoneの新機能というよりは、Apple製品全体のセキュリティ性のアップデートを目的とした機能追加ですね。
しかし、難しい専門用語おおすぎ!誰かわかりやすく教えて!
そう思った方が結構多いかと思います。
本記事では、iOS16で追加される新機能「パスキー」について、専門知識がない方でもわかりやすく解説したいと思います。
iOS16の新機能がたくさん出てます。詳細については、別の記事で解説していますので、興味のある方はぜひご覧ください。
iPhoneのパスキーとは
パスキーは、SafariでWebサービスなどへログインする際に利用する新しいパスワードの認証方法です。
パスキーは、iOS16から登場する新しいパスワードの認証方法です。
イメージしやすいように、まず一般的に普及している認証方法について簡単に触れておきます。
今まで、Webサービスやアプリへログインするためには、IDとパスワードを登録して、ログインするたびに入力したり、アプリ側で保存して、そのつどログインしているのが一般的なログイン方法です。デメリットとしては、IDとパスワードが漏洩したら最後だれでもログインすることができるようになります。
また、IDとパスワードの入力だとセキュリティ性が低いので、IDとパスワード入力のほかに、電話番号を使って一時的なパスワード(ワンタイムパスワード)をショートメール宛に送る2段階認証(2ファクタ認証とも言う)というログイン方式もあります。ワンタイムパスワードを使うログイン方法は、銀行でも採用されており、電話番号のショートメールにその都度違う番号のパスワードが送られてくるのと、端末を本人が持っていないと第三者はログインすることができないので、第三者に悪用されるリスクが低い、セキュリティ性の高い認証方法です。
しかし、2段階認証は、ログインするために毎回2回の認証が必要なため手間と時間がかかります。1回で済むところを2回行わなければいけないので、少し面倒です。
他にも、ユーザーが複数のサイトで同一のパスワードを使い回していたり、第三者から推察しやすい簡単なパスワードを設定していたりするケースなどは、いくらサービス提供者側がセキュリティ対策を講じても意味がない場合もあります。
そこで、AppleのiOS16から登場する「パスキー」の出番です。
パスキーは、ユーザーがIDとパスワードを入力してログインする従来の認証方法や2段階認証と違い、パスワードの入力ではなく、iPhoneに組み込まれた生体認証(Face IDやTouch ID)を使って認証する方式です。
つまり、あなた自身がログインする為の鍵となるわけです。
また、iPhoneだけで使用できるわけではなく、iPadやMacなどのApple製品はもちろんのこと、他社製品のAndroid端末等でも使用することができるとのこと。
パスキーの登場で、サインインの方法が新しくなります。エンドツーエンドで暗号化されてフィッシングやデータ漏えいから守られるので、一般的なすべての2ファクタ認証よりも強力です。他社製デバイスでも使えます。
引用元:Apple公式ホームページ「iOS16 プレビュー」
はい!ここで、「エンドツーエンド」ってわけわからん単語が出ました。
エンドツーエンドとは、通信を行う自分と相手(Webサービスやアプリ側)のみが、暗号化と復号を行い、第三者が情報を見れなくする仕組みのことです。
ざっくり言うと、パスワード認証や2段階認証よりも、簡単で安全な認証方法なので、今までよりもWebサービスやアプリを安全に楽しめるってことですね。
安全なパスワードとして長いパスワードを設定していた人達からしてみたら、パスワード入力よりも安全な認証方法が出てくれると、助かりますよね。
また、「2段階認証ってめんどくさいよね💦」って思っていた人も1回の認証で済むようになるので大変ラクチンになります。
iPhoneと言えば、「セキュリティ性が高いよね!」という話があるけれども、アカウントのアクセスを目的としたフィッシング詐欺などに対応できていなかった部分があったので、より安全な形でiPhoneや他のパソコンなどを使えるようになるということですね。
他にも、セキュリティ性を底上げする為に、2段階認証が設定されていないApple IDではパスキーの使用できないかったり、パスキーの情報は、iCloudキーチェーンを使って、すべてのApple端末に情報を同期することができるので、いちいちiPadやMacで個別の登録をする必要もないので、セキュリティ性も利便性も向上しています。
パスキーってどんな仕組みで動いてるの?
さて、ここまでで、なんとなくパスキーのことがイメージできたと思います。
パスキーとは、あなた自身の指や顔のデータをもとにログインやパスワード認証を行う方式です。
じゃあ実際に、どんな仕組みなのかを深堀して説明したいと思います。
Appleの公式では、パスキーで採用されている仕組みは、「WebAuthn」という技術に基づいて作られています。
パスキーは、公開鍵暗号化を用いる WebAuthentication (“WebAuthn”) 標準に則って開発されています。アカウントの登録中に、オペレーティングシステムは一意の暗号化鍵のペアを作成し、該当する App や Web サイトのアカウントと紐付けます。これらの鍵は、アカウントごとにデバイスによって安全かつ一意に生成されます。
鍵ペアの片方が公開鍵で、これはサーバ上に保管されます。この公開鍵はシークレット (秘密) ではありません。もう片方が秘密鍵で、実際にサインインする際にはこれが必要です。秘密鍵が何かサーバ側が知ることはありません。Touch ID または Face ID に対応した Apple 製デバイスでは、Touch ID や Face ID でパスキーの利用を承認でき、それを受けて、App や Web サイトに対してユーザの本人確認が行われます。共有のシークレットが転送されることもなく、サーバが秘密鍵を保護する必要もありません。
引用元:Apple公式ホームページ「パスキーのセキュリティについて」
専門用語で「FIDO認証」なんて呼ばれたりもします。
いやいやいや💦ちょっとAppleの公開されている情報だけだと「何それ美味しいの?」って感じになっちゃいますよね?
Appleが何を言いたいかを、簡単にまとめると、パスキーは「自分のiPhoneに登録されている生体情報を使うこと」「パスキーの情報はiPhoneだけが持っていること」「パスキーのデータはWebサービスやアプリを提供しているサーバーに情報が保管されないこと」という特性があるよって言っています。
パスキーの仕組みは、言葉だけだとイメージしづらいので、画像をつかって解説します。
パスキーの仕組みイメージ図
iPhoneに登録されている「Touch IDやFace IDの生体情報をもとにした鍵」を1つ作ります。(秘密鍵)
次に、その鍵を使って「ガチガチに暗号化された鍵」を、もう1つ作ります。(公開鍵)
なので、合計2個の鍵を使います。
Webサービスやアプリのログインやデータのやりとりに使うのは、2個目の「ガチガチに暗号化された鍵」を使って行います。
「ガチガチに暗号化された鍵」は、Webサービスやアプリ側のサーバーに保管されますが、「Touch IDやFace IDの生体情報をもとにした鍵」は保管されません。指紋や顔紋の情報は、データのやりとりをしないのでサーバーにも残りません。また、「ガチガチに暗号化された鍵」を使った通信は、データの通信開始から通信終了までを暗号化して行っているので、途中でハッカーやクラッカーなどの第三者が簡単に盗み見ることができない仕様になっています。(エンドツーエンド)
そして、「ガチガチに暗号化された鍵」をもとにした情報は、「Touch IDやFace IDの生体情報をもとにした鍵」がないと開けません。
だから、「Touch IDやFace IDの生体情報をもとにした鍵」がインターネット上やアプリ上のサービス提供者へ公開される心配はありませんし、サービスの提供者側は「ガチガチに暗号化された鍵」しか持っていないので、万が一攻撃を受けたとしても、あなたの「Touch IDやFace IDの生体情報をもとにした鍵」が漏洩するリスクもありません。
つまり、あなたの生体情報を登録している端末を通さないと、情報を見ることはできないから安全だよということになります。
また、あなたの指紋や顔写真などの生体情報がサービス提供者側のサーバー側に登録するわけではないので、登録に対して抵抗を感じる必要もありません。
以上が、パスキーの仕組みです。
パスキーのいつ登場するのか?
iOS16のアップデートが今秋のため、年内には登場する予定です。
しかし、新しいテクノロジーのため、完全にパスキーへ移行するには時間がかかると思われます。
移行までの間は、従来通りのIDとパスワードを使用した認証方法に加えて、パスキーがサポート追加される可能性が高いです。
Apple製品以外の端末でパスキーを使う場合はどうなる?
Apple製品であれば、Airdropでパスキーの情報を共有することが可能のようです。
しかし、Android端末やWindows端末などで、iPhoneで登録したパスキーを使う場合どのように同期させるのかは現状不明です。
おそらく、BluetoothかWi-Fiを使って情報を同期させるのではと考えられます。
なぜなら、すでに普及している既存の端末へ「パスキー」の情報を同期させるのであれば、BluetoothかWi-Fiを経由して情報を送るのが、多くの端末が対応している一番手っ取り早い方法だからです。
ただセキュリティ性は落ちるとは思うのですが、そのあたりの対策をどうするのかは、今後の発表を待ちたいと思います。
他の方法としては、iCloudのアプリを作って同期させる方法が考えられます。
セキュリティ担当者から見てパスキーってどうなの?
セキュリティ担当者から見てパスキーってどうなの?
正直、不明な部分が多いので何とも言えないです。
ごめんなさい🙇って終わらせたら、せっかく見に来て下さったあなたに失礼なので、現状の出ている情報で推測したいと思います。
まず、パスキーについてAppleの公開している情報を見る限り、以下の被害はなくなると思っています。
- ブルートフォース攻撃は防げる
- フィッシング詐欺は無くなる
- 一部のマルウェアは意味を成さなくなる
上記の3つを上げた理由としては、パスキーを使うとIDやパスワードを入力する必要がなくなり、認証方法がかわるからです。
1つ1つ具体例を交えながら、詳しく解説していきます。
ブルートフォース攻撃は防げる
ブルートフォース攻撃は、パスワードを全部入力して、総当たりでユーザーIDやパスワードを不正に入手する手法です。
例えば、「0000」~「9999」の間でパスワードを設定しているものがあったとします。この場合は、「0000」~「9999」を全部入力すれば、ロックが解除されることになります。
自転車とかの鍵の番号を忘れてしまった経験がある人は、鍵の数字を1つづつ変えて試してみたら、鍵が開いたなんて経験なんかもあるかと思います。
イメージとしてはそれに近くて、「プログラムを使って全部試す!」というのがブルートフォース攻撃になります。
では、パスキーではブルートフォース攻撃を防げるのか。
答えとしては、防げます。
理由として、パスキーはFace IDやTouch IDを使用しているので、数字やローマ字を使って第三者がID・パスワードを入手することができません。
なので、パスキーが普及したら、ブルートフォース攻撃は意味がなくなります。
他にも、推測されやすいパスワードを設定していたために、不正にログインされるなんて心配もなくなります。
フィッシング詐欺は無くなる
フィッシング詐欺は、メールやWebサイトを装い、ユーザーを勘違いさせて、IDやパスワードを入力させて奪い取る手法です。
近年では、コロナ禍の影響により、銀行や宅配業者を装ったメールが大量に送られ、誤って勘違いしてしまったユーザーが自分の銀行のIDとパスワードを入力してしまい、お金を取られてしまうという被害にあっています。
Appleは、パスキーがフィッシング詐欺に有効であると明言されています。
パスワードとは違い、フィッシング詐欺対策に優れ、常に強力で、シークレット (秘密) を共有しない設計になっています。App や Web サイトに簡単にアカウント登録できるようになる上、簡単に使えて、すべての Apple 製デバイスで横断的に機能します。
引用元:Apple公式ホームページ「パスキーのセキュリティについて」
つまり、従来のユーザーIDとパスワードのような認証方式ではないから、入力させる詐欺の方式は成立しなくなります。
なので、現在のようなフィッシング詐欺は無くなります。
一部のマルウェアは意味を成さなくなる
マルウェアとは、iPhoneのセキュリティの裏をついてあなたの情報を抜き取ろうとする悪質なプログラムです。ざっくり言えばウイルスです。
コンピューターウィルスをイメージしてもらうとわかりやすいです。
iPhoneは、App Storeからしかアプリをダウンロードできない仕様になっているので、とてもセキュリティ性が高いと言われてます。
しかし、完璧ではありません。
過去には、マルウェアが仕込まれたアプリが、Apple社の審査をすり抜けてしまったことがあります。有名なのは、ユーザのアドレス帳情報を不正利用していた「Find and Call」というアプリですね。
Webサービスやアプリ開発者をターゲットとするマルウェアがあった場合、そもそも最初からウィルスに感染しているので、個人情報が漏洩してしまう可能性はiPhoneだろうとありえます。
他にも、iPhoneのデバイスを対象としているわけではなく、電話番号あてに送られてきたショートメールを傍受して2段階認証のシステムを傍受するタイプのマルウェアなんてのあります。
セキュリティの質は、年々上昇していますが、悪意のあるユーザーも隙をついてきます。
そんなマルウェアにも、パスキーであれば対応できます。
パスキーは、通信を傍受されないような仕組みとして「WebAuthn」を採用しています。
WebAuthnは、ログイン認証に必要な個人情報がネットワーク上を流れないという特徴があります。
なので、Webサービスやアプリを提供している側のサーバーにも、最終的な個人情報はわかりません。
パスキーは、生体情報をベースに、「ガチガチに暗号化された鍵」を1つ作って、生体情報を開示しないでデータのやりとりをするので、サービス提供者はユーザーとデータを紐づけることまではできても、一度「ガチガチに暗号化された鍵」を使ってロックしたデータは、パスキーの生体情報がないと開けないということになります。
なので、サービス提供者を悪質なハッカーが攻撃しても、サイト事業者からあなたのパスワードが漏洩するリスクはなくなります。
また、パスキーは、生体認証を使うので2段階認証のシステムを傍受するタイプのマルウェアは効果的ではなくなります。
個人的な懸念点としては、「AppleのTouch IDやFace IDの情報を盗むアプリが新たに登場する」「ユーザーを勘違いさせてiPhoneを脱獄させる方法」の2つができた場合は、パスキーは意味をなさなくなる可能性が高いのではと思っていますが、かなり無理ゲーなのでないとは思っています。
一番身近で気を付けなければいけないのは、「本体を落とす・盗まれるケース」ですね。
本体が悪意のある第三者の手に渡ってしまった場合は、Touch IDなら本体を盗んだ時点で、ケースや本体についている指紋も盗めるので、パスキーの情報を突破できるとは思います。
顔認証も100%じゃないですが、本人と同じ顔の深度マップやAIが認識している特徴を一致させる方法があるのであれば可能だと思います。
でもそれって、まるでルパン三世やスパイ映画のような話ですがw
街中では、iPhoneを盗まれないようにする対策が必要になるかもしれませんね。
盗まれないようにしているのは皆さん当たり前ですが、パスキーが登場するからといって、今までどおりに管理をする必要がなくなるといったわけではないので過信は禁物です。
まぁ、Appleは本体が奪われた場合は、遠隔で「紛失モード」に設定すれば大丈夫だとは思いますけどね。
個人的には、エンドツーエンド暗号化を利用して悪さをする人が出てくるとは思っているので、パスキーが登場されたから、セキュリティ的にもう何もしなくていいよねとはならず、セキュリティ開発者と悪質なハッカ―とのイタチごっこはこれからも続いていくと思います。
まとめ
パスキーは、今まで認証方法とは違いとても強固なセキュリティ方式です。
データを盗み取られたり、パスワードを入力するためにメモっておくなんてこともなくなると思います。
近年たくさんの被害があるフィッシング詐欺に対応しているので、インターネットを上の詐欺被害や個人情報の漏洩なども少なくなります。
しかし、セキュリティ対策は、自分の行動や気を付けようという気持ちも大切になります。
セキュリティ対策は、システムも大切ですが、どんなシステムか知った上で弱点になるところを自分でケアできるようにしておくことも重要です。
素晴らしいシステムだとしても作る人も使う人も人間です。100%安全ということはありませんので十分に注意をしたうえで、使うようにしましょう。
世の中にあり得ないことはありえないのだから。
あなたのiPhoneライフに少しでもお役立ちできる情報の1つとして、本記事の内容が役立てば幸いです。
簡単まとめ
- パスキーはTouch IDやFace IDなどの生体情報を使う新しい認証方法です。
- パスキーの仕組みは「生体情報」と「生体情報を基に作られ暗号化された鍵」の2つを使ってデータのやりとりをする
- 「生体情報」はインターネット上でやりとりされないし、「生体情報」がないとデータは開けない仕様
- パスキーは2022年秋頃に登場する予定だが、普及するのには時間がかかる。
- 既存の悪意ある攻撃方法を防御できるように対応しているので、今までよりも被害者が減る。
この記事を気に入っていただけたら、コメントやシェアをしていただけるととても励みになります!これからも、iPhoneの最新情報やiPhoneのトラブル解決方法について情報発信していきますので、たまにサイトをチェックしていただけると、とっても嬉しいです(‘ω’)ノ。
SNSのフォローボタンを、ポチってくれるとめっちゃ嬉しいです👍
ではでは、最後までご覧いただきありがとうございました。
Twitter:@Uriuri_writer
Follow @Uriuri_writer
Instagram:@uriuri_writer
Instagram
コメント
[…] iPhoneのパスキーとは?Safariの新しいログイン機能をわかりやすく解説 […]