「パスワードレス」認証を推進するヤフー

ヤフーは21日、サイバー犯罪やサイバーセキュリティに関するメディア向けの説明会を開催。同社の「パスワードレス」などの取り組みを説明した。

フィッシング対策協議会によれば、2021年のフィッシング詐欺の報告件数は52.6万件。前年比2倍と大幅増となり、深刻な社会問題となっている。また標的となる「ブランド」の数は'21年で260件。過去3年間で全体の61.7%が上位トップ3ブランドに占められており、ECや通信事業者、カード会社、銀行などが大きい。

目的は基本的にクレジットカード情報の詐取で、2021年には公的機関(コロナワクチンナビ)などを装ったものも増えるなど、より深刻さを増している。また、運送系や生命保険などの詐欺も増えているという。フィッシング詐欺は、人を対象とした攻撃のため、防衛には正しい知識とリテラシーや行動習慣の変化が必要となる。

こうした状況下でヤフーでもフィッシング対策として強化しているのが、ユーザーへの注意喚起と「パスワードレス」だ。

ヤフー CISO室 大角祐介氏によれば、フィッシングサイトの見分け方は「ない」と断言する。対策は「常に公式アプリやブックマークからアクセスする」。これはシンプルだが強力な取り組みだという。

なぜ、見分けようとしないことが最善かというと、「正しいURLを見かけだけで見分けることは不可能」だから。目的は「正しいWebサイトにアクセスすること」で、見分けることではないので、公式アプリなどからアクセスするのが最適とする。

また、よくある注意喚起として「メールの差出人を確認しよう」というものがあるが、あまり意味がないと語る。偽装は簡単で、「郵便と同じで好き勝手にかける」ため、目で見て判断するのは危険という。また、「サーバー証明書」で鍵が付けられているというのも、通信路の安全が示されているだけで「接続先が安全」を示すものではない。そのため、公式アプリやブックマークの活用が推奨されるという。

ヤフーとして強化しているセキュリティ対策が、「パスワードレス」だ。生体認証やSMSによるパスワードレス(パスワード無効化)をヤフーでは進めている。

なぜいま「パスワードレス」なのか。それは、パスワード窃取や外部でのパスワード漏洩によるリスト型攻撃など、パスワードを不正利用されてしまう事件が多いから。こうした不正アクセスはパスワードが漏洩してしまえば、対策が難しくなってしまう。

また、ユーザービリティの面においても、パスワードやIDを忘れてしまう人は多い。そのたびに再発行等を行なうのも手間で、“覚えておく”負荷も高い。

こうした課題を解決できるのがパスワードレスで、「セキュリティとユーザービリティの両方を改善できる」(ヤフー IDサービスマネージャーの吉岡知彦氏)とする。

ヤフーのパスワードレス認証は、「SMS認証」「FIDO認証(生体認証等)」の2種類を提供している。

SMS認証は、パスワードに変わり電話番号に通知する確認コード(4桁)でログインする方法。登録した電話番号の携帯電話を持っている人のみログインできるようになる。

もう一つのFIDO(ファイド)認証は、端末の生体認証機能を使って、指紋や顔の認識でログインする仕組み。

いずれもパスワードではログインできず、本人の顔や指紋、携帯電話の確認コードなどを使うため、セキュリティが保たれる。また、ユーザービリティにおいても、パスワードを覚える必要がないので、簡単に利用できるようになる。

SMS認証は、確認コードを入力するという手間が発生するが、FIDO認証は顔や指紋だけでログインできるため、ユーザービリティの面ではよりメリットは大きい。ただし、FIDO認証はデバイス上に顔や指紋の情報を登録するため、その端末でしか利用できず、複数の端末で使う場合は、SMS認証を用いることとなる。そのためヤフーではこの2つの認証を使い分けて導入している。

また、FIDO認証の場合、ブラウザがWebサイトを識別しているため、登録していないサイト(フィッシングサイト)を識別できる。また、秘密鍵を用いた認証のため認証情報の使い回しによるリスト攻撃にも強いなど多くのメリットがあるという。

こうした理由から、ヤフーではパスワードレス化を推進。ユーザーにもパスワードレスでの利用を呼びかけていく。