パスワードレスを当たり前にするヤフー　パスキー対応はなぜ必要なのか

Yahoo! JAPANのログイン方法として、現在は「パスワードレス」認証が使われている。これは、主にスマートフォンなどの生体認証を用いてユーザー本人であることを認証して、パスワードを使わずにログインする手法だ。

ヤフーでは、パスワードレス認証としてFIDO2を採用している。本来は端末に固定されるFIDO2認証だが、これを複数端末に同期させる「パスキー」が登場しており、ヤフーも採用を進めている。14日にはiOS・macOSに加えてAndroidでのパスキーをサポートした。

これに合わせて、パスワードレス認証の現状を、同社サービス統括部ID本部本部長の伊藤雄哉氏に聞いた。なお、取材はオンラインで行なった。

2022年12月のFIDO Allianceによる説明会に登壇したヤフー伊藤雄哉氏(左から2番目)

1800万が生体認証を利用

Yahoo! JAPANでは、月間のログインID数が5,500万に達する。そのうち、何らかのパスワードレス認証を利用しているアクティブユーザーのID数が約4,000万、そしてFIDO認証を設定しているアクティブユーザーID数が約1,800万となっている。

同社がパスワードレス認証を導入したのが2017年4月。まずはSMS認証を導入し、登録した携帯番号にSMS送信してログインできるようにした。当初はパスワードも併用できたが、2018年5月にはパスワード無効化を提供し、パスワードレス環境を実現した。

2018年10月にはFIDO2認証を採用。AndroidのChromeブラウザにおいて生体認証によるパスワードレス認証が可能になった。2019年5月には、「FIDOとは異なる」(伊藤氏)ということだが、iOSでのTouch ID/Face IDでのパスワードレス認証をサポート。こうした準備が整ったこともあって、2019年9月には、新規ID取得の時点でパスワードレスを可能にした。

2020年12月にはiOSのSafari上でFIDO2対応。'21年1月にはAndroidアプリでFIDO2に対応した。'21年12月にはWindows、Mac OSのブラウザ上でのFIDO2対応を開始した。そして'22年9月にiOSとMac OSにおけるパスキー対応、'23年3月14日にAndroidのブラウザにおけるパスキー対応が実現した。

当初、SMS認証からパスワードレス認証を導入したことから、現在でもこれを使っているユーザーは多い。ただ、すでにFIDOに対応したユーザーも1,800万という数まで拡大。明確にFIDO認証だと意識していない人は多いかもしれないが、生体認証でYahoo! JAPANにログインしている人は、すでにFIDOに対応していることになる。

Yahoo! JAPANのログイン画面。すでに一度ログインをしているためIDが表示されている

認証を開始すると、保存済みのパスキーを使ってログインができる。この後、Face IDを使ってログインする

こうしたパスワードレスの導入について、伊藤氏は、「パスワードに関して、ユーザビリティとセキュリティの面で課題があった」と説明。リスト型攻撃などID・パスワードに対する攻撃が激化していて、フィッシング報告も右肩上がりだという。

ユーザビリティについては、パスワード忘れが多いという点が課題だった。パスワードだけでなくID忘れも多かったとのことで、ピークにはアカウントに対する問い合わせの3割がパスワード、ID忘れだったという。同社の調査では、87.1％の人がログイン時のID、パスワード忘れを経験していたという。

パスワード、ID忘れで困った経験のある人が多い。

パスワード管理ツールを使っていれば、こうした問題は解決するが、そうしたユーザー全員が使うかというと難しい。その結果、SMS認証を導入し、さらにFIDO認証へと繋がっていったという。さらに、パスワードが残っていると、そこが攻撃に対する弱点となるため、無効化設定によってパスワード自体をなくした。

誰でも安定して速く認証できる生体認証

パスワードレス設定導入後、当初は利用者が伸びなかったが、機能が成熟するに従って「ここ2～3年は右肩上がり」(伊藤氏)で利用者が拡大。伊藤氏は、利用者に受け入れられたという感覚を持っているそうだ。

結果としてアクティブなアカウント5,500万(月間)のうちの8割近い4,000万IDがパスワードレスを利用。生体認証を使うFIDO認証も1,800万まで拡大した。

生体認証(FIDO認証)のメリットとして、伊藤氏は「安定して速く認証できる」という点を挙げる。実際に同社がパスワード認証、生体認証、SMS認証でテストしたところ、最も高速なのは、恐らくブラウザのオートコンプリート機能を使っているユーザーがいることからパスワード認証で、最頻値は1秒だった。ところが、中央値だと8秒、平均値だと19.4秒となっていた。SMS認証の場合、SMSが届くまでの時間差もあって、最頻値は14秒、中央値は17秒、平均値は27.3秒。

パスワード、SMS、生体認証によるログインにかかる時間。生体認証は1カ所に固まっていて、安定している

これに対して生体認証の場合、最頻値は5秒だったが、中央値は6秒、平均値も11.4秒と、ほかの認証手段に対して安定しており、中央値と平均値で最速になっていた。ユーザー全員がブラウザのオートコンプリートを使いこなせるわけではないのでパスワード認証は差が大きく、SMSは届くまでの時間がまちまち。こうした問題に比べて、生体認証は安定して多くのユーザーが早く認証できるというのがメリットだという。

こうした取り組みを続けることで、パスワード・ID忘れに対する問い合わせは、以前の最大3割から、5％まで大幅に減少したそうだ。パスワードを狙った攻撃も減少しているため、トータルでのパスワードレスの効果は大きく、さらにユーザビリティの観点からも生体認証のメリットは大きいようだ。

こうした生体認証はFIDO2、WebAuthnの技術を使っているが、同社ではさらにパスキーにも対応。2022年9月のiOS、macOS向けに続いて、3月14日からAndroidにも対応した。FIDO2は、認証に使う認証情報を端末に保管するため、本来はその端末でしか認証が行なえず、複数の端末で生体認証を使いたい場合はその都度、登録作業を行なう必要があった。

パスキーは、利便性を向上させるために認証情報をクラウドで同期できるようにする技術。Microsoftアカウント、Apple ID、Googleアカウントの3種類がパスキーをサポートしており、それぞれのアカウントでログインしている端末であれば同期されるので、1つの端末でパスキーによるログインをすれば、他の端末でも登録せずにパスキーが使えるようになる。

伊藤氏もパスキーの利便性をアピール。FIDO認証での弱点の1つがアカウントリカバリーで、端末の紛失・盗難・故障などでログインできなくなったときに回復が難しいという問題があった。パスキーであればプラットフォームのアカウントに保管されているので、端末を変更した後も、同じアカウントでログインすれば認証情報が同期されて、そのまま生体認証でログインできる。

パスキー(FIDO2認証)はフィッシング耐性も高いので、フィッシングサイトにアクセスしてID・パスワードを入力してしまって盗まれるということもない。こうしたセキュリティ面でも、ヤフーではパスキーを積極的にアピールしていきたい考えだ。

セキュリティ上は、認証情報が漏えいするなどして攻撃者にログインを許すという可能性がないわけではない。GoogleやApple、Microsoftのアカウントが攻撃されて認証情報が漏えいすれば攻撃の危険性はあるが、プラットフォーマー自体が侵入されたらそれ自体が大事件ではある。とはいえ、危険性がないわけではないので、金融や行政などのよりセキュアな事業領域でのパスキーの利用に関して、FIDO Allianceでも議論をしているという。

それでも、パスキーの利便性と安全性に関して、伊藤氏は今後も順次対応を拡大する意向を示す。OSレベルでの対応になっていないMicrosoftが対応したら、ヤフーとしてもすぐに対応をする予定。

なお、パスキー自体への対応は、すでにFIDO2認証に対応していれば「簡単」(伊藤氏)だという。サイト開設のタイミングならパスキー対応も簡単だが、ヤフーのようにすでに一定のユーザー数を抱えているとユーザーの移行が大変だということで、ヤフー自身もなかなか移行が進んでいない。

パスワードレス認証は「使われなければ意味がない」と伊藤氏。1,800万IDからさらに利用者を拡大していくために、登録から利用までユーザー体験をさらに改善していきたい考え。利用者が多いSMS認証自体は、セキュリティ上は決して安全性の高い仕組みではない。そのため、ユーザーは生体認証を使ったFIDOへの移行を進めた方が安全ではある。利便性上もメリットがあるので、基本的には移行するといいだろう。