証券口座への不正ログインで大きな被害が出たということが話題となり、この事態を受けて、日本証券業協会は「フィッシングに耐性のある多要素認証」の必須化をガイドラインに盛り込み、その一つとしてパスキーの利用もあげられています。
そして、不正ログイン対策として、大手証券会社がパスキーの導入を進めている状況です。
SBI証券、楽天証券もパスキー認証に対応したということなので、実際に設定してみました。
パスキー認証と一口に言っても、実際の運用方法にはいくつか種類がありますが、それぞれの証券会社がどの方法に対応しているのか、実際の使い勝手はどうなのか、簡単に報告します。
SBI証券の場合
SBI証券での具体的な設定方法については、こちらの公式ページ「パスキー認証」をご覧ください。
SBI証券では、生体認証やPINによる画面ロック解除(Windows Helloなど)を利用した方法や、スマホを使った方法などが利用できるようですが、パスワードマネージャーのBitwardenも利用できました。
ブラウザの拡張機能でBitwardenを導入していれば、パスキーの設定の際にBitwardenが反応してパスキーを保存するかどうかなどを聞いてくるので、保管庫の場所などを指示すれば、パスキーがBitwardenに保存されます。
Bitwardenにパスキーを保存するイメージはこちらの過去記事「BitwardenでGoogleアカウントのパスキーを作成してみた」をご覧ください。
また、複数のパスキーを設定しておくこともできます。
私の環境ではなぜか「Windows Hello」を利用したパスキーの設定ができなかったので、bluetoothで接続したスマホを利用したものと、Bitwardenを利用したものの2つのパスキーを設定しました。
パスキー設定後、ログインする場合には、パスキーを利用するかパスワードを利用するかどちらかを選択する形となります。パスキーを設定した後もパスワードでもログインできるということです。
この点の良し悪しについては、後に述べます。
Bitwardenを利用する場合の注意点
Bitwardenの場合、「クリックジャッキング攻撃への対策」としてブラウザ拡張機能の設定で「サイトアクセス」を「クリック時」していると、Bitwardenの保管庫の内容を変更できません。つまり、そのままではパスキーの保存もできません。
このため、パスキーを設定する際にブラウザ拡張機能のBitwardenの設定を一時的に「すべてのサイト」に戻しておく必要があります。
「なんのこっちゃ」とお思いの方もいらっしゃるでしょうが、詳しくは、こちらの記事「パスワードマネージャーへの「クリックジャッキング」攻撃」参照ください。
そこまで神経質になる必要はない(クリックジャッキング攻撃への対策は不要あるいはサイトアクセスの変更までは不要)と思われる方は、無視して下さい。
楽天証券の場合
楽天証券では、PCで設定する場合でもWindows Helloなどを使った方法では設定できず、基本的にスマホを利用した方法だけになります。Bitwardenにも対応していません。
PCで利用するには、BluetoothでPCとスマホを接続するという形になります。
具体的な設定方法などは、公式ページの「パスキー認証(FIDO2)」をご覧ください。ページの中段やや下あたりに設定方法やログイン方法の動画があります。
楽天証券の場合は、SBI証券とは異なり、パスキーを設定した後はパスワードではログインができません。
パスワードでのログインに戻すには、パスキーを削除しなければいけません。
では、もしもパスキーを設定したスマホが故障した場合は?
ログインできなければパスキーの削除もできません。
この場合は、自動音声ダイヤルに電話して、一時的にパスワードでのログインができるようにしもらう、ということです。
ここら辺のことは、先ほどの公式ページの「パスキー認証(FIDO2)」に記載されています。
パスキーの保存場所にかかわること
基本的には以上の通りなのですが、スマホを使ってパスキーを設定(保存)した場合、Andoridの場合は結局のところパスキーは「Googleパスワードマネージャー」に保存され、同じGoogleアカウントを利用しているスマホやChromeブラウザの間で同期されます。
つまり、必ずしもパスキーを設定したスマホでなくとも、例えば、ChromeブラウザでGoogleアカウントにログインしていれば、PCだけでもパスキーを利用してログインすることが可能です。
実際に、楽天証券でもSBI証券でも、PCのChromeブラウザを使って、スマホで設定したパスキーを利用してログインすることができました。
パスキーは同期されない方が、設定した端末からパスキーが外の出ることは無く、その端末が無いとログインできませんので、セキュリティの面では強固と言えます。
他方で、利便性や万が一のスマホの故障や紛失のことを考えると同期してくれる方が便利となります。
例えば、他のログイン方法が制限される楽天証券の場合でも、スマホが故障したときも、自動音声ダイヤルに電話する必要はないということになります。
iPhoneの場合も、パスキーは「iCloudキーチェーン」に保存され、同期されます。実際に試していないので、Macなどでどのような挙動になるのかは分かりませんが。
パスキーの安全性などについて
フィッシング耐性
正しくパスキーが設定できれば、パスワードを利用するよりもパスキーはずっと安全です。
技術的なことはともかくとして、二要素認証が突破されるようなフィッシングに対しても有効で、その仕組み上、悪意ある第三者がなりすますことは困難です。
もちろんパスキーとて100%安全ということは言えませんし、パスキーを設定する際にフィッシングに引っかかってしまえば、犯人側に好きなようにされてしまいます。
過信は禁物ですが、パスワードを使い続けるよりはずっと安全だと思います。
パスワードも利用できることによる問題
楽天証券、SBI証券どちらもパスワードは残ったままです。
パスワードを完全に削除し、パスワードレスの運用にする方が、パスワード漏洩のリスクに対して安全だと言えます。
ですが、他方で、万が一何らかのトラブルでパスキーが利用できなくなった場合、他のログイン手段が用意されていないと非常に困ったことになります。
他のログイン手段が確保されていない現在の状況でパスワードの残すというのは仕方がないかなと思います。
また、普段の利用でパスワードを使わずにパスキーを利用するようにすれば、フィッシングなどユーザーサイドからパスワードが漏れるリスクも減ると思います。
パスワードは複雑で推測されにくい長い文字列にして大事に保管しておいて普段は使わないという運用です。パスワードが残っているとしても、普段のログインにはパスキーの利用が望ましいと思います。
パスキーの管理の問題
証券会社の話からは逸れますが少しだけ。
パスキーはどのような仕組みになっているのか、直観的には非常に分かりにくいと思います。
設定や利用はとても簡単です。仕組みをよく知らない人からすれば、こんなんで本当に安全なの? と思うくらいでしょう。
指紋や顔などの生体認証だから安全というわけではなく、パスキーの本質はそこではありません。公開鍵と秘密鍵を使った認証の仕組みそのものが肝です。
この辺ことは話が飛びすぎるので割愛しますが。
とは言え、どこのサイトでどのようなパスキーを設定したのか、実際にはどこに保管されているのか、しっかり意識しておかないと、パスワード以上に管理ができない状態になりかねません。
パスキーがどこに保管され、どう管理すれば良いのか、意識しておく必要があります。
例えば、Googleアカウントにログインした状態の端末(使用しているときは普通はこの状態)を紛失したり、盗難にあったりした場合、Andorid端末で設定したパスキーが悪用される危険があるということです。
そうなると、対象の端末を遠隔ロック、パスキーの削除・変更などの面倒な対処が必要になります。
ですので、古い端末を処分するときは必ず初期化しておく(やっていると思いますが)、使用しなくなった不要なパスキーは保管場所から削除するなどの管理を意識しておく必要があります。
この辺は、パスワードの管理とはかなり感覚が違うと思います。
コメント