「dアカウント」はどこへ向かうのか　ドコモのパスキー対応のいまと課題

話を聞いたのはスマートライフカンパニー第一プロダクトデザイン部セキュリティ基盤担当課長の久保賢生氏(右)とスマートライフカンパニー第一プロダクトデザイン部セキュリティ基盤担当の上坂浩貴氏

NTTドコモのdアカウントにおける「パスキー」の導入がさらに拡大している。10月13日からは、主要なシーンでパスキーへの移行がさらに進められた。

パスワードを不要とし、ユーザーの使い勝手を向上できるパスキーだが、ドコモの環境においては、まだ「回線認証」も残っているなど、わかりにくい部分も多い。どのような方針で進めているのか、ドコモの認証における今後の戦略について話を聞いた。

ドコモが進めるパスキーとは

ドコモのdアカウントの問題については、過去にも別記事で言及しているが、アカウントと回線が強く結びついていることで、特殊な作業を行なうと混乱してしまうという問題がある。

問題の原因の1つとして「回線認証」がある。携帯キャリア特有の認証の仕組みで、自社回線での接続と4ケタのネットワーク暗証番号を使うことで、契約情報から当人認証を行なう仕組みだ(正確には「回線による認証」と「ネットワーク暗証番号による認証」の組み合わせだが、本稿ではまとめて「回線認証」とする)。

その回線を使っていれば、4ケタの暗証番号だけで即時認証ができるので、手軽な仕組みではある。「1回線1アカウントしか持たない」ことが前提の仕組みで、そうしたユーザーであればあまり困ることはない。フィッシング耐性も高く、長いパスワードを記憶する必要もないし、契約時に設定するので改めて登録が不要という点もメリット。

しかし、回線認証の場合は必ずデータ通信でその回線を利用している必要がある。無線LANでの接続時は認証できないし、デュアルSIM端末で別のキャリア回線をメインに使っている場合も利用できない。

回線認証は無線LAN接続や他社回線を使っているとエラーが出てしまう

こうした不自由な状況に関して、ドコモの場合はdアカウント設定アプリを使うことで、スマートフォンに通知を送ってログインできるようにしている。生体認証でログインする仕組みで、パスワードでのログインを無効化することで、パスワード漏洩や使い回し、フィッシング詐欺といった攻撃に対抗できる点が強みだ。

dアカウント設定アプリ。「2段階認証」は弱になっているが、「いつもパスキー設定(パスワードレス設定)」を設定しているとパスワードが無効化されているので、そもそも2段階認証自体が不要になっている

似た仕組みとして、最近になって登場したのが「パスキー」だ。もともとドコモは生体認証でのログインに「FIDO2」と呼ばれる仕組みを採用。このFIDO2を推進するFIDO AllianceとWeb標準化団体W3Cが共同で開発したのが、Webサイトの生体認証によるログイン仕様「WebAuthn」。

このWebAuthnで使われる、サイトごとのFIDO認証資格情報(FIDOクレデンシャル)を複数デバイスで同期する機能をパスキーと言う。詳細は過去記事にあるが、ドコモはFIDO Allianceを主導する立場にもあり、このパスキーの導入を進めている。

このパスキーの導入が進めば、dアカウントは指紋や顔を使った生体認証だけでログインができ、回線認証も不要になる……という期待がある。

パスキーの拡大で何が変わって、何が変わらないか

10月13日からは、このパスキーの利用が拡大された。IDとパスワードを使わずにdアカウント設定アプリでログインできる「かんたんログイン」機能はパスキーに置き換え。同アプリにおける「生体認証または画面ロックで認証」やスマホ認証は、極力パスキーを使うようにUIを変更する。

13日における変更機能。ただ、4と5にある「生体認証または画面ロックで認証」と「スマホ認証」は機能としては残り、PCでのログイン時などに使われる

久保氏は、「色々な認証がパスキーで代替できることが見えてきた。簡単、安心して使える機能として、パスキーに置き換えられるものは置き換える」というスタンスを示し、パスキーの利用シーンを拡大していく方針だ。

さらに久保氏は、「dアカウント設定アプリを使ったパスキー認証は、アプリをインストールしなければ使えないので、そうした機能は極力減らし、ブラウザからのパスキー認証にする」としている。

具体的にユーザーの動作がどのように変わるかというと、次のパターンが考えられる。

(2)パスキー設定をしている

基本的に、これまでとあまり変わらない。一部のUIで「生体認証または画面ロックで認証」と「スマホ認証」がなくなり、設定や利用ができないようになるが、この2つの機能自体はなくなっていないので、シーンによってはスマホ認証が必要となるようだ。

dアカウントのログイン画面の変更点。スマホ認証などのボタンがなくなり、11月にはUIも変更される予定

dアカウントメニューからも「スマホ認証の設定」がなくなる

13日以降は、「dアカウント設定アプリが不要なパスキーに対応しているアプリ・サービス」かどうかで、パスキーが優先されるかどうかが変わってくる。基本的にブラウザでログインする場合はパスキーが優先されるというが、アプリの場合はahamoやd払いなど、対応バージョンにアップデートした対応アプリの場合に、パスキーが優先される。

ドコモのアプリの内、パスキーに対応したアプリ

非対応アプリだと例えばdポイントアプリ。「別のIDでログイン」をすると「設定済みの端末で認証」が表示され、スマホ認証を要求する。逆に対応アプリのd払いアプリだと、ログアウトして別のIDでログインしようとするとパスキー認証が求められる。

実際のログイン画面。IDを入力して「次へ」で生体認証を求められる

生体認証(パスキー)をクリアするとログインができるようになる

スマホ認証を求める例。この場合、「設定済みの端末で認証」を選ぶと、同じIDでdアカウント設定アプリにログインしている端末があれば通知が送られ、その端末で認証をするとログインができる

このあたり、アプリの対応が進むまでは、シーンによってスマホ認証が出たり出なかったりすることが続きそうだ。

ほかに変わらないのはパスキーを作成する機能。これはセキュリティを重視するためか、回線認証をしたdアカウント設定アプリが変わらず必要となっている。

ドコモ回線に紐付かないdアカウントの場合は、あらかじめ登録したメールにURLが送信され、それにアクセスすると、あらかじめ登録した携帯番号にSMSが送信される。送信された6ケタの数字を入力して認証したdアカウント設定アプリを使う。

パスキー作成時の画面。dアカウント設定アプリに通知を送信して生体認証が必要

dアカウント設定アプリは、ログインするために回線認証が必要で、そのdアカウント設定アプリに通知を送るため、パスキーの作成に回線認証が必要ということになる

問題となるのは、ドコモ回線に紐付いたdアカウントを使って、「dアカウント設定アプリ」にログインするには回線認証が必要という点だ。これが必要になるのは、デュアルSIM端末でデータ通信回線をドコモ回線から別の回線に切り替えたときや、海外で現地SIMを挿入したときのような場面だ。

dアカウント設定アプリはSIM切り替えを自動検知してdアカウントからログアウトする仕様のため、こういう状況では再び認証が必要になってしまい、ドコモ回線に切り替えなければならなくなる。かといってドコモ回線に切り替えて認証しても改めて現地SIMに切り替えたらまた再認証が求められる。

この場合、回線認証が使えなくなるので、通知を送って認証するために別途「設定済みの端末」を用意しておく必要がある。つまり、デュアルSIMや海外SIMを使いたければ複数台のdアカウント設定アプリにログイン済みの端末を用意しなければならないわけだ。

ただ、このdアカウント設定アプリの再認証は必要なければ無視することもできる。

dアカウント設定アプリが再認証の状態でも、他のアプリやサービスがログアウトするわけではないため、dアカウント設定アプリ以外は再ログインが不要。

それぞれのサービスやアプリでdアカウントの切り替えをしようとすると再ログインが必要だが、その場合でもパスキー対応であればdアカウント設定アプリの認証状態を問わず、再ログインができる。

そのため、「dアカウント設定アプリでのログインが必要なアプリやサービスで、IDを切り替えるために再認証が必要」という状況以外は、dアカウント設定アプリの再認証を無視しても支障はない。

とはいえ、再認証を常に求められるのは精神衛生上良くないし、まだパスキー作成などでdアカウント設定アプリが必要な場面もある。久保氏は「課題として認識しているので、改善していく予定」と話している。

いくつかの問題点が残るパスキー対応

ある程度パスキーの利用範囲が拡大したことで、dアカウント設定アプリと回線認証の問題は一部解消されている。ただ、dアカウントのパスキー対応にはまだいくつか問題が残されている。

1点目は、Windowsに対応していないこと。ログインには変わらずdアカウント設定アプリが必要となる。Windowsはもとより、Androidのパスキー同期に対応しない点も課題だ。

Googleアカウントを使ったパスキーの同期に対応しないため、同じGoogleアカウントでログインした複数のAndroid端末では、それぞれで回線認証を使ったパスキーの作成が必要となる

パスキーが存在しない端末でログインをする場合、パスキーの仕様ではQRコードを表示してパスキーが存在する別のスマホのカメラで読み込んでパスキー認証をする方法や、別の端末に通知を送信する方法がある。dアカウントではこうしたパスキー標準の機能が使えないため、スマホ認証が残っている点も課題だろう。

Windowsにおけるdアカウントのログイン画面。dアカウント設定アプリへの通知が必要

標準的な仕様である、別のスマホに通知を送ってログインする方法には非対応

久保氏は、こうした点に関して今後も検討を継続するとしている。パスキーが初期設定を必要とする点など、利用者の理解が進んでいないという認識で、パスキーを一気に広めるのではなく、段階的に進めていくという考えだ。

もともと契約時に設定したネットワーク暗証番号だけで利用できる回線認証には設定がいらないというメリットがあり、契約に基づく本人確認があるのでセキュリティも高いという点も、ドコモが重視する理由だ。

13日以降も、特にセキュリティを重視するシーンでは、dアカウント設定アプリと回線認証が生き残っている。前述の通りパスキーを作成する際の回線認証が代表的なシーンだろう。

ドコモでは、スマホ認証と生体認証または画面ロックで認証の2機能の利用を減らそうとしているようだが、パスキーの同期やQRコードを使った認証など、標準仕様に対応していないせいで中途半端な対応状況になっており、「どうにか回線認証を残したい」という意図があるように見える。

他にも、d払いにおける支払い方法をクレジットカードに変更したいと思ったら、ドコモ回線に紐付くdアカウントでは回線認証が必要になるのも謎ではある。一方で、ドコモ回線に紐付かないdアカウントでは、特に認証をせずに支払い方法が変更できるようになっているので、余計によく分からない。

そもそもパスキーでログインをしているわけで、改めて回線認証をする意味はないだろう。逆に言えば、回線認証の有無で不正利用の発生率に違いがあるか計測できるので、パスキーの安全性評価の一環と言えるかもしれない。

実際、回線認証の強化でフィッシング詐欺被害は減っているとみられ、パスキーだけでもフィッシング詐欺が防げるとなれば、標準仕様への対応が進んで、さらに利便性が向上することが期待できる。

ちなみに、dアカウント設定アプリには、マイナンバーカードの電子証明書を使った本人確認機能がある。これを活用してパスキーを生成すれば、本人確認強度の高いパスキーが可能になり、回線認証の代わりになりうる。

パスキー単体では「当人認証」はできても「身元確認」はできないため、持ち歩いていれば当人認証と身元確認ができるマイナンバーカードは強い。パスキーであれば、1台の端末で作成すれば複数端末に同期されるので、一度作成すれば、機種変更しても新たにパスキーを作成し直す必要もなく、生体認証でログインできる。

回線認証と同等以上の認証強度が得られるという意味では、ドコモ側にもメリットがある。久保氏も、マイナンバーカードとパスキーの組み合わせは「ありえる」という考えを示しており、今後のドコモの対応にも期待したい。

現時点でも、Google、Microsoft、Apple、Amazon、Yahoo! JAPAN、au、任天堂、Adobe、Uber、MIXI Mなど、パスキー対応サービスは増えてきた。ドコモのような中途半端な実装をしているサービスは少ないが、逆にドコモのようにパスワード無効化を実装しているサービスも多くはない。

本来は、パスワード無効化もすべきなので、完璧な実装をしているサービス自体が多くないと言える。同じ携帯キャリアのauも、回線認証を重視するあまりパスキー実装はドコモ同様、中途半端だ。それでもパスキー利用サービスが増えてきたので、ドコモもパスキー実装をさらに推進してほしいところ。

久保氏も、パスキーの利用者は「継続率が高い」と指摘し、一度使ってみると便利で継続してくれると話す。利用シーンの拡大で多くの人が移行することになれば、さらにドコモにおけるパスキーの実装も広がるという好循環が期待できる。

パスキーは、セキュリティ強化の取り組みにもかかわらず、使い勝手を犠牲にせずにむしろ利便性が向上するという、今までにはなかった仕組みだ。今後のさらなる拡大を期待したい。