「パスワードをなくしてパスキーにすれば安全」——そう思っていませんか?確かにパスキーは従来のパスワードより大きく進化した認証技術です。しかし、パスキーすら突破する手口が現実の攻撃として観測されるようになりました。
本記事では「リアルタイムフィッシング(AiTM攻撃)」「ハイブリッドトランスポートのバイパス」「パスキー登録の乗っ取り」「パスワードリセット経路の悪用」まで、初心者にも理解できるよう丁寧に解説します。そして、これらを踏まえた「本当に意味のある対策」も具体的に紹介します。
本記事は攻撃手口を悪用することを推奨するものではありません。サービスの利用者・管理者・セキュリティ担当者が脅威を正確に理解し、適切な対策を取れるよう情報提供することを目的としています。
📋 目次
- 🔑 そもそも「パスキー」って何?──3分でわかる仕組みの基礎
- 🎣 リアルタイムフィッシング(AiTM攻撃)とは何か
- ⚡ なぜワンタイムパスワード(OTP)は意味がなくなるのか
- 📱 QRコード+Bluetoothのハイブリッドトランスポート認証とは
- 💥 Bluetoothバイパス:「Bluetoothなし環境」が生む致命的な穴
- 🎭 ソーシャルエンジニアリングでパスキーを解除させる手口
- 🔄 パスワードリセット経路という「もう一つの正面玄関」
- 🍪 デバイスバインディングとCookieの落とし穴
- 🛡 本当に有効な対策:デバイスに「閉じ込める」という発想
- 📊 攻撃手口・対策の整理まとめ表
- 🔚 まとめ:パスキーは「強力な鍵」だが「完璧な城壁」ではない
🔑 そもそも「パスキー」って何?──3分でわかる仕組みの基礎
攻撃を理解するには、まず守る側の仕組みを知る必要があります。パスキーについて「名前は聞いたことある」という方のために、まず基礎から整理しましょう。
パスキーの3行要約
- 📱 スマホやPCの生体認証(指紋・顔)や画面ロック(PIN)と連動した「鍵ペア」でログインする技術
- 🔐 パスワードを入力しないため、パスワードが盗まれる・推測されるというリスクがない
- 🌐 FIDO2/WebAuthn標準に基づき、Google・Apple・Microsoftが共同推進する次世代認証規格
仕組みをもう少しだけ詳しく
パスキーは「公開鍵暗号」という技術を使っています。ログイン登録時に「公開鍵(サービスが持つ)」と「秘密鍵(あなたのデバイスだけが持つ)」のペアを生成します。ログイン時は秘密鍵を使ってサービスからの「問いかけ(チャレンジ)」に署名し、正当性を証明します。
何が優れているか? 秘密鍵はデバイスの外に出ません。つまり「盗める情報がない」というのが最大の強みです。フィッシングサイトがパスワードを盗む従来の手口が原理的に効かない設計になっています——少なくとも、以前は。
【FACTメモ】 パスキーの普及は急速で、2024年時点でGoogle・Apple・Microsoft・Amazon・PayPal・GitHub・Shopifyなど世界主要サービスが対応済み。FIDO Allianceの調査では、パスキー利用者の認証成功率はパスワードの3倍以上とされています。しかし「突破できない」ことと「突破されにくい」ことは別の話です。
🎣 リアルタイムフィッシング(AiTM攻撃)とは何か
ここが今回の記事の核心です。「AiTM(Adversary in The Middle:中間者攻撃)」または「リアルタイムフィッシング」と呼ばれる手口は、従来のフィッシングと根本的に異なります。
従来のフィッシングとの違い
| 比較項目 | 従来のフィッシング | リアルタイムフィッシング(AiTM) |
|---|---|---|
| 目的 | パスワードを盗んで後で使う | ログインセッションをリアルタイムで乗っ取る |
| OTP(ワンタイムパスワード) | 有効期限切れで使えない(MFAが有効) | 入力された瞬間に転送→MFAが無効化される |
| 必要な準備 | 偽サイトを作るだけ | 正規サイトへの「中継プロキシ」を用意 |
| ユーザーの体感 | 偽サイトに気づきやすい場合も | 本物そっくりに動作するため気づきにくい |
| 最終的な取得物 | パスワード(単体) | 認証済みセッションCookie(最も危険) |
攻撃の全体像を図解する
具体的な流れを、PCでフィッシングメールを開いてしまった場合のシナリオで追いましょう。
【登場人物】
👤 あなた(被害者)
💻 あなたのPC
🎭 犯人のサーバー(中継プロキシ)=偽サイト
🏦 本物のサービス(例:銀行・Googleアカウント等)
STEP 1:フィッシングメールが届く
「アカウントに不審なアクセスがありました。今すぐ確認してください」という巧妙なメールが届きます。リンクをクリックすると、本物そっくりの偽サイトが表示されます。
STEP 2:あなたがIDとパスワードを入力する
偽サイトはあなたの入力を受け取ると同時に、裏側でリアルタイムに本物のサイトへ同じ情報を転送します。あなたには普通のログイン画面に見えています。
STEP 3:MFAの画面が表示される
本物のサイトがOTP(ワンタイムパスワード)を要求すると、その要求が偽サイトを経由してあなたに届きます。あなたはスマホのアプリで確認して6桁のコードを入力します。
STEP 4:OTPが即座に転送される
あなたが入力したOTPは有効期限が30秒程度しかありません。しかし犯人のサーバーはそれをミリ秒単位で本物のサイトに転送するため、有効期限内に使い切ります。
STEP 5:犯人が本物のサイトにログイン成功
本物のサービスは「正しいIDとパスワードとOTPが揃った」と判断してログインを許可します。この時点で犯人は認証済みのセッションCookieを取得します。
STEP 6:あなたには「ログイン完了」が表示される
偽サイトは本物のサービスの画面をそのまま表示し続けます。あなたは正常にログインできたと思っています。しかし裏側では、犯人がすでに同じアカウントにアクセスできる状態になっています。
セッションCookieとは「ログイン済みの証明書」のようなものです。これを盗まれると、犯人はパスワードもOTPも不要で、あなたのアカウントにアクセスできます。しかもCookieには有効期限があり、数時間〜数日間使い続けられるものもあります。この手口は「Cookie盗難(Session Hijacking)」と呼ばれ、MFAを完全に無効化します。
【FACTメモ】 AiTM型フィッシングツール「Evilginx」「Modlishka」「Muraena」はオープンソースとして公開されており、技術的な敷居は年々下がっています。Microsoft社の調査(2023年)では、AiTM攻撃で1万以上の組織が標的にされたキャンペーンを確認。日本でも2024年以降、銀行・EC・行政サービスを騙るAiTM型フィッシングが急増しています。
⚡ なぜワンタイムパスワード(OTP)は意味がなくなるのか
「でも二段階認証を設定しているから大丈夫では?」──これが最大の誤解です。整理しましょう。
OTPが無効化される理由
OTPの安全性は「短い有効期限(30〜60秒)」に依存しています。従来のフィッシングでは、偽サイトで盗んだOTPを後から使おうとしても時間切れになります。
しかしAiTM攻撃では、あなたが入力した瞬間に本物のサイトへ自動転送されます。転送にかかる時間はコンピュータの処理速度=ミリ秒単位。30秒の有効期限に対して0.1秒で転送完了。つまり時間的なバリアが機能しないのです。
「無効化される認証」と「有効な認証」の分類
| 認証方式 | AiTM攻撃への耐性 | 理由 |
|---|---|---|
| SMS認証(SMSでOTP) | ❌ 無効化される | リアルタイム転送で突破。さらにSIMスワップ攻撃のリスクも |
| 認証アプリ(TOTP:Google Authenticator等) | ❌ 無効化される | リアルタイム転送で突破される。OTPの仕組み自体が同じ |
| メール認証(メールでOTP) | ❌ 無効化される | 同上。さらにメールアカウントが乗っ取られていると二重の問題 |
| プッシュ通知承認(「許可」ボタン) | ⚠ 条件次第で突破可能 | 攻撃者が「許可」リクエストを繰り返し送りつけ(MFA疲労攻撃)、誤タップを誘う |
| FIDO2パスキー(デバイスバインド型) | ✅ 理論上は耐性あり | 秘密鍵はデバイスに閉じ込められ、オリジン(ドメイン)に縛られる |
| ハードウェアセキュリティキー(YubiKey等) | ✅ 最も強固 | 物理デバイスが必要+オリジン検証でフィッシングを原理的に防ぐ |
「二段階認証を設定しているから安全」という思い込みは危険です。SMS・メール・認証アプリによるOTPは、AiTM攻撃の前では多要素認証としての意味を失います。 これは二段階認証が「不要」という意味ではなく、従来型の大量フィッシングには有効であり続けます。しかし標的型・高度な攻撃への対策としては、より強固な方式が必要です。
📱 QRコード+Bluetoothのハイブリッドトランスポート認証とは
パスキーにはフィッシングに強い仕組みが組み込まれています。その一つが「ハイブリッドトランスポート(Hybrid Transport)」です。これは新しいPCや未登録のデバイスでパスキーログインを行う際に使われる仕組みです。
ハイブリッドトランスポートの流れ
例えば、いつも使っているスマホにパスキーを登録しているとして、普段使わない新しいPCでログインしようとした場面を想像してください。
① PCのブラウザにQRコードが表示される
② あなたのスマホのカメラでQRコードを読み込む
③ スマホとPCがBluetoothで近距離通信して「このスマホはこのPCの近くにある」ことを確認
④ スマホの生体認証(指紋・顔)でパスキーに署名
⑤ ログイン完了
なぜBluetoothを使うのか?
Bluetoothの通信距離は約10メートル以内です。この「物理的な近さ」の確認が重要なセキュリティ要素です。
フィッシングサイト(偽サイト)を通じて攻撃者がQRコードを提示したとしても、攻撃者のサーバーは物理的にあなたから何千キロも離れています。Bluetoothで「スマホがPCの近くにある」という確認が取れないため、認証が成立しない——これが理論上の防御です。
ハイブリッドトランスポートはFIDO2/WebAuthn仕様の「CTAP2.1」で規定された機能です。Google・Apple・Microsoftが共同でこの仕様を策定し、フィッシング対策の「物理的証明」として設計されました。Bluetoothを使った近接確認はCaba(Cross-device Authentication using BLE Advertising)プロトコルとして実装されています。
💥 Bluetoothバイパス:「Bluetoothなし環境」が生む致命的な穴
「Bluetoothで近さを確認するなら安全では?」——確かに理論上はそうです。しかし現実には大きな問題があります。
問題①:すべてのPCでBluetoothが使えるわけではない
Bluetoothを搭載していないPCは今でも多く存在します。特に企業の古い業務用デスクトップPC・サーバー・一部の法人向けシンクライアント端末では、Bluetoothが無効化または非搭載のケースが珍しくありません。
Bluetoothが使えない場合、ブラウザはどう動作するか?多くのケースではBluetooth確認をスキップして代替認証に切り替わります。
代替認証に切り替わると何が起きるか
- 📲 スマートフォンへのプッシュ通知(承認ボタンを押すだけ)
- 📱 SMS・メールによるOTP(6桁のコードを入力)
- 🔑 バックアップコードの入力
これらはいずれも、前のセクションで説明した「AiTM攻撃で突破できる方式」です。つまり、Bluetoothバイパスが成功した瞬間に、パスキーの最大の強みが失われます。
問題②:攻撃者はBluetoothが使えない環境を選んで攻撃できる
巧妙な攻撃者は、ターゲットが「Bluetoothなし環境」を使う状況を狙います。たとえば:
- 🏢 会社支給の古いデスクトップPCを使う社員を狙ったスピアフィッシング
- ☕ カフェの共用PCやホテルのビジネスセンターPC(Bluetooth非搭載が多い)
- 🖥 リモートデスクトップ(RDP)経由のアクセス(Bluetoothが使えない)
ハイブリッドトランスポートのBluetoothバイパスは、パスキーという「強固な認証」が「弱い認証」にフォールバック(切り替わる)する設計上の問題です。セキュリティの世界では、「システムの強度はその最も弱い部分で決まる」という鉄則があります。どんなに強固なメイン認証を用意しても、バイパス経路が弱ければ全体が弱くなります。
🎭 ソーシャルエンジニアリングでパスキーを解除させる手口
技術的な突破が難しい場合、犯人は「人間の心理」を使います。これがソーシャルエンジニアリングです。
よくある「パスキー解除」誘導の手口
手口① 「パスキーが無効になりました」通知
犯人が送る偽メール・偽SMS:「お使いのアカウントのパスキー認証にエラーが発生しました。セキュリティ保護のため、パスキーを一度削除して再登録してください」
ユーザーが指示通りにパスキーを削除すると、犯人は再登録を自分のデバイスで実施します。または、パスキー削除後の「フォールバック認証(従来のパスワード+SMS)」を突破します。
手口② サポートを装った電話(ビッシング)
「〇〇サービスのサポートセンターです。お客様のアカウントで不正利用が確認されました。今すぐパスキーのリセットが必要です。画面の指示に従ってください」
電話口でステップを誘導し、ユーザー自身に操作させます。「サポートからの電話」という権威付けが判断力を鈍らせます。
手口③ 二段階認証メールの乗っ取りからのパスキー新規登録
これが特に危険なシナリオです。
流れ:
① 犯人がフィッシングでメールアカウントを乗っ取る
② そのメールアドレスに紐づいたサービスの「新しいデバイスを追加」機能を使う
③ メールに届く確認リンクを犯人が受信・クリック
④ 犯人のスマホにパスキーを新規登録完了
⑤ 以降、犯人は「正規のパスキー」を使ってログインし放題
この攻撃の恐ろしさは、パスキーそのものを突破していない点です。「正規の手続き」を使って犯人のデバイスをパスキー登録しているため、ログ上では正常な操作に見えます。
メールアカウントはデジタルIDの「マスターキー」です。メールが乗っ取られると、そのメールに紐づく全サービスのアカウントが潜在的に危険にさらされます。メールアカウントには最も強固な認証(ハードウェアキーまたはFIDO2パスキー)を設定することが最優先です。 メール自体の二段階認証がSMSやメール(別メール)の場合、連鎖的な乗っ取りリスクがあります。
🔄 パスワードリセット経路という「もう一つの正面玄関」
「パスワードを忘れた?リセットします」という機能は、利便性のために用意されています。しかし攻撃者にとってこれは「もう一つの侵入口」です。
パスワードリセット経路への3つの攻撃
攻撃① メールアカウントの乗っ取り → リセットリンクの横取り
最も典型的な連鎖攻撃です。メールが乗っ取られた状態で「パスワードを忘れた」をクリックすると、リセットリンクが犯人のメールボックスに届きます。その後、パスワードが変更され、パスキーも再登録されます。
攻撃② 秘密の質問の推測・調査
「母親の旧姓は?」「初めて飼ったペットの名前は?」——これらの答えは、SNSの投稿・家族のプロフィール・公開されたデータから調査できる場合があります。特にOSINT(前回記事で解説)の技術を使えば、対象者の個人情報を深く調査できます。
攻撃③ SIMスワップ攻撃 → SMS認証の乗っ取り
SIMスワップとは、攻撃者が携帯電話会社のサポートに「SIMカードを紛失した」と虚偽申告し、被害者の電話番号を自分のSIMカードに転送させる手口です。成功すると、そのSIMに届く全てのSMSを犯人が受信できます。
| リセット経路 | 主な攻撃手法 | リスクレベル |
|---|---|---|
| メール送付 | メールアカウント乗っ取り・AiTMフィッシング | 🔴 高い |
| SMS送付 | SIMスワップ攻撃・AiTM転送 | 🔴 高い |
| 秘密の質問 | OSINT調査・SNS情報収集 | 🔴 高い(古い方式ほど) |
| バックアップコード | マルウェアによるファイル盗難・フィッシング | 🟡 中程度 |
| 本人確認書類提出 | 偽造書類・なりすまし | 🟡 中程度(難易度高) |
| ハードウェアキー保有 | 物理盗難 | 🟢 低い(物理アクセス必要) |
重要なのは、パスワードそのものが突破されなくても、リセット経路が突破されれば同じ結果になるという点です。パスキーを設定していても、リセット経路が弱ければそこから乗っ取られます。
【FACTメモ】 2020年、Twitterのオバマ元大統領・イーロン・マスク・ビル・ゲイツ等のアカウント乗っ取り事件では、SIMスワップではなくTwitter社内システムへの侵入が使われましたが、調査の結果、攻撃者が狙ったのは管理者権限のある従業員アカウントへのソーシャルエンジニアリングでした。2022年のCoinbaseへの攻撃でも、SIMスワップとソーシャルエンジニアリングの組み合わせが使われています。
🍪 デバイスバインディングとCookieの落とし穴
デバイスバインディング(端末登録)とは
「デバイスバインディング」とは、特定のデバイス(スマホやPC)をアカウントに登録し、そのデバイスからのアクセスだけを許可する仕組みです。未登録のデバイスからログインしようとすると、追加の認証が要求されます。
これはなりすまし対策として有効です。犯人が新しいデバイスから侵入しようとしたとき、「このデバイスは登録されていません」という壁にぶつかります。その時点でアカウント所有者に通知が来れば、侵害に気づける可能性が高まります。
デバイスバインディングの実装方法(2種類)
① ハードウェアレベルのデバイスバインディング
TPMチップ(Trusted Platform Module)・Secure Enclave等のハードウェアに秘密鍵を閉じ込める方式。鍵をデバイスの外に取り出せない設計のため、非常に強固です。FIDO2パスキーの「デバイスバインドパスキー」がこれに該当します。
② Cookieベースのデバイスバインディング
ブラウザに保存されたCookie(「このデバイスを信頼する」情報)で端末を識別する方式。多くのWebサービスが使っているより簡易的な実装です。
Cookieが盗まれると何が起きるか
Cookieベースのデバイスバインディングには致命的な弱点があります。Cookieが盗まれると、そのCookieを持っている「誰でも」あなたのデバイスに成りすませます。
Cookieを盗む代表的な手段が「インフォスティーラー(情報窃取マルウェア)」です。
| インフォスティーラーの代表例 | 主な被害 | 感染経路 |
|---|---|---|
| RedLine Stealer | ブラウザCookie・パスワード・クレカ情報を一括窃取 | 偽ソフトウェア・マルバタイジング |
| Raccoon Stealer | 70以上のブラウザに対応・仮想通貨ウォレットも標的 | フィッシングメール・Torrent |
| Vidar Stealer | ブラウザCookie・Discord・Telegram のセッション情報 | 偽Adobe・偽VPNソフト |
| Lumma Stealer | MFA認証済みCookieを専門的に狙う | 偽YouTubeコメント内リンク・SEOポイズニング |
盗まれたCookieは「ログス(Logs)」と呼ばれる形式でダークウェブ上で販売されています。犯人はこのCookieをブラウザにインポートするだけで、あなたのアカウントにパスワードもなしでアクセスできます。
Cookieベースのデバイスバインディングは、インフォスティーラーに感染した時点で「登録デバイスの偽装」が完全に可能になります。これはデバイスバインディング自体が悪い技術ということではなく、「Cookie盗難」という上位の脅威が存在するという認識が必要です。多くのサービスがデバイス認証の詳細な実装を非公開にしているのは、悪用を防ぐためでもありますが、ユーザーとして過信は禁物です。
🛡 本当に有効な対策:デバイスに「閉じ込める」という発想
ここまで読んで「じゃあ何も信じられないじゃないか」と思った方へ。安心してください。正しい対策を取れば、リスクを大幅に下げられます。ポイントは「認証を一つのデバイスに閉じ込める」という発想です。
対策① クロスデバイス認証を使わない
前述のハイブリッドトランスポート(QRコード+Bluetooth)は「スマホのパスキーをPCで使う」というクロスデバイス認証です。これを使わず、各デバイスにそれぞれパスキーを登録することで、バイパスのリスクを下げられます。
- 💻 PCでログインするなら → PCのWindows Hello(または内蔵TouchID)で登録したパスキーを使う
- 📱 スマホでログインするなら → スマホの生体認証で登録したパスキーを使う
「スマホのパスキーをPCから使おう」とするからこそ、QRコードとBluetoothが必要になり、そこにバイパスの穴が生まれます。デバイスごとに完結させる運用が最も堅固です。
対策② Windows Helloを活用する(Windows PCユーザー)
Windows Helloは、Windows PCに内蔵されたFIDO2対応の認証システムです。顔認証・指紋認証・PINを使い、パスキーをTPMチップに安全に保管します。
Windows HelloによるパスキーはPCのTPMチップに紐づいており、外部に持ち出せません。クロスデバイス認証も不要。Bluetoothバイパスの問題が発生しません。
Windows Helloでパスキーを使う設定手順
① 「設定」→「アカウント」→「サインインオプション」でWindows Helloを有効化
② 対応サービス(Google・Microsoft・GitHub等)のセキュリティ設定でパスキーを追加
③ 「このデバイス(Windows Hello)」を選択して登録
→ 以降、そのPCでログインするときは顔・指紋・PINでサインイン完了
対策③ スマホだけで取引を完結させる
銀行・決済・重要な個人情報を扱うサービスは、スマホのアプリだけで完結させるという方針も有効です。
スマホのネイティブアプリは、ブラウザと異なりWebViewのフィッシングリスクが低く、OSレベルの生体認証と直接連携します。PCのブラウザ経由で重要な操作を行う機会を減らすことで、AiTMフィッシングの標的になるリスクを下げられます。
対策④ ハードウェアセキュリティキーの導入(最強)
YubiKey・Google Titan Key等の物理的なハードウェアセキュリティキーは、現時点で最も強固な認証手段です。
- 🔌 USBまたはNFCでPCやスマホに接続して使用
- 🌐 ドメイン(URL)検証が組み込まれており、偽サイトでは動作しない
- 📵 インターネット接続不要(完全オフライン動作)
- 💣 マルウェアやAiTM攻撃では鍵を取り出せない
対策⑤ メールアカウントを最優先で強化する
全ての対策の中で最も費用対効果が高いのは、メールアカウントのセキュリティ強化です。メールが全てのリセット経路の起点になるからです。
- ✅ メールにはFIDO2パスキーまたはハードウェアキーを設定
- ✅ SMS・メールによるOTPの二段階認証は削除してより強固な方式に切り替え
- ✅ 「パスワードを忘れた」のリセット先メールアドレスが安全か確認
- ✅ 不審なログインの通知設定を有効化
対策⑥ フィッシングメール・SMSのリンクを踏まない(基本中の基本)
全ての攻撃の入り口は「リンクをクリックすること」です。どんなに認証を強化しても、偽サイトに誘導される行動自体を減らすことが最優先です。
- 📧 メールのリンクは直接クリックせず、ブックマークや直接URL入力でアクセス
- 📱 SMSで届くリンクには特に注意(公式アプリをストアで検索してアクセス)
- 🔍 URLバーを確認:ドメインが正しいか、HTTPSになっているか
- 🚨 「緊急」「アカウント停止」など焦らせる文言は攻撃のサイン
【FACTメモ】 Google社の調査では、ハードウェアセキュリティキーを導入した結果、フィッシング攻撃による被害がゼロになったと報告されています(2018年発表、85,000人の従業員が対象)。また、MicrosoftのAzure ADでは、FIDO2キー(パスキー含む)を使ったアカウントへの攻撃成功率は従来のMFAと比較して99.9%削減されるとしています。
📊 攻撃手口・対策の整理まとめ表
| 攻撃手口 | 何が突破されるか | 主な対策 |
|---|---|---|
| AiTMリアルタイムフィッシング | OTP・SMS・プッシュ通知型MFA・セッションCookie | FIDO2パスキー/ハードウェアキー・リンクを踏まない |
| Bluetoothバイパス | ハイブリッドトランスポートのフォールバック認証 | 各デバイスにパスキーを個別登録・クロスデバイス認証を避ける |
| パスキー新規登録の乗っ取り | メール経由の確認フローを悪用してパスキーを登録される | メールアカウントの最優先強化・通知設定の有効化 |
| ソーシャルエンジニアリング(パスキー解除誘導) | ユーザー自身が操作して安全設定を解除してしまう | 公式サイト以外からの指示には従わない・電話でのサポート詐欺に注意 |
| パスワードリセット経路の攻撃 | メール・SMS・秘密の質問を通じてパスワード変更 | リセット経路も強固な認証で保護・秘密の質問を無効化 |
| SIMスワップ攻撃 | 電話番号に届くSMS認証を全て乗っ取られる | SMS認証からFIDO2への移行・携帯キャリアのSIMロック設定 |
| インフォスティーラーによるCookie盗難 | Cookieベースのデバイスバインディングが無効化 | マルウェア対策ソフト・不審なソフトウェアをインストールしない |
🔚 まとめ:パスキーは「強力な鍵」だが「完璧な城壁」ではない
パスキーは確かに、従来のパスワード+SMS認証よりはるかに強力な認証技術です。それは否定しません。しかし本記事で見てきた通り、現実の攻撃者はパスキーそのものを突破するよりも、パスキーの周辺にある「弱い部分」を狙います。
今回のポイントを5行でまとめます:
- 🎣 AiTMフィッシングはOTP/SMSをリアルタイム転送するため、従来型MFAを無効化する
- 📡 Bluetoothが使えない環境では、パスキーのハイブリッドトランスポートがバイパスされ弱い認証に切り替わる
- 📧 メールアカウントが乗っ取られると、パスキーの新規登録や全てのリセット経路が突破される
- 🍪 インフォスティーラーでCookieが盗まれると、Cookieベースのデバイスバインディングは意味を失う
- 🔑 最も有効な対策は「各デバイスにパスキーを個別登録」+「メールアカウントの最強化」+「リンクを踏まない習慣」の組み合わせ
セキュリティに「銀の弾丸(一つで全て解決する万能策)」はありません。パスキーを正しく理解し、弱点を補う運用で使うことが、現時点での最善策です。
「完璧な錠前はない。でも、攻撃者が諦めるほど難しくする努力は必ずできる。」——それがサイバーセキュリティの現実であり、本質です。
① メールアカウントの二段階認証をSMS→認証アプリ→FIDO2パスキーへアップグレードする
② 重要なサービス(銀行・SNS・仕事用ツール)にデバイス個別のパスキーを登録する
③ メールやSMSで届いたリンクをクリックする前に、公式アプリ・ブックマークからアクセスする習慣をつける
※本記事の情報は執筆時点のものです。認証技術・攻撃手法は急速に進化しています。最新情報はFIDO Alliance(fidoalliance.org)・IPA(情報処理推進機構)・JPCERT/CC等の公式情報をあわせてご確認ください。
コメント