GoogleがGmailユーザーに対し、従来のパスワード認証から「パスキー」への移行を強く呼びかけています。これは、パスワードや二段階認証(2FA)に依存する認証方式が、増加するサイバー攻撃に対して脆弱であるという警告に基づいています。FBIの報告によると、オンライン詐欺による被害額は前年比33%増の166億ドルに達し、過去最高を記録。特にメールサービスは他のオンラインサービスへの入り口となるため、攻撃者の標的になりやすい状況です。
アイデンティティ管理企業のオクタは、攻撃者が生成AIツールを悪用し、本物そっくりのフィッシングサイトを大量生成している実態を指摘しており、生成AIの兵器化による新たな脅威の段階に入ったと警鐘を鳴らしています。このような状況に対し、Googleは「サインインを簡単に保ったままパスワードを完全に過去のものにしたい」と表明し、その解決策としてパスキーを推奨しています。
パスキーはデバイスに紐づく認証方式で、フィッシング耐性が高く、攻撃者のアクセスを効果的に防ぐことができます。Microsoftも同様の動きを見せており、ユーザーにパスワードの削除を促すとともに、認証アプリのパスワード機能を廃止し、パスキー専用化を進める方針を示しています。
Googleはコードで自動的な防御機能を製品に直接組み込んでいると説明していますが、依然としてパスワードという脆弱な「南金場」のデジタル版で守られているアカウントは、攻撃者にとって格好の標的となります。パスキーへの移行は数秒で完了し、アカウントの安全性を大幅に向上させる効果が期待できます。
ユーザーからのコメント:
- 「パスキー認証は強力ですが、紐付けた端末の取り扱いには注意が必要です。なお、パスキーで紐付けた端末を変更する場合や噴質盗難にあった場合に備え、復旧手順は必ず確認しておくべきです。」
- 「端末を守らないと最悪その端末からアカウントを乗っ取られます。」
- 「機種変更時や噴質盗難の場合、必ずその端末のパスキーを削除することを忘れずに、特に機種変更においては変更前の端末をキャリアに返却する時や売却とする際は絶対に行うこと。」
- 「1度乗っ取り被害にあってからは今はほとんどパスキーに切り替えています。パスキー端末の粉質や故障などを懸念される方が多いですがそのぐらい守れ。」
- 「パスキーは認証情報をPCのストレージではなく、TPMやセキュリティエレメントなど通常のアクセスからは断された場所に保存されるため旧来の方式とは安全性の次元がまるで違います。」
- 「パッキーはデバイスに強力に張り付く仕様なのでサービスを別の端末に切り替えたり端末噴質時のリカバリー手順が複雑でとても一般消費者が扱えるものではない。」
- 「サーバーからのチャレンジそしてデバイスからのレスポンス端末の秘密へのアクセスで生態認証。これは第3者攻撃を不可能レベルに引き上げます。」
- 「パスキーの核となる端末のロック買え故障噴失盗難が大変なんですよね。最近は埋め込みチップに対する嫌悪感や恐怖感も薄れてむしろ普及した方が楽ではと思うようになりました。」
- 「私はGoogle、Microsoft、Yahooの複数アカウントの全てをパスキーか済み。パスキー化したら端末の粉質が心配という人もいるがキーは何も1つ限定ではなく複数の登録が可能。」
- 「IDとパスワードでのログインではフィッシングで詐欺に知られてしまうと乗っ取られてしまいますが、パスキーやPINではデバイスが手元にある限り高いセキュリティ力を発揮します。パスワードの時代はもうすぐ終わりそうですね。」
- 「全員がスマホを持っている時代パスキーの方が合理的でしょう。パスキーの導入を推奨する流れ個人的には賛成です。」
- 「パスワード覚えるのも大変ですしセキュリティも心配ですから。正直パスワードだけの時代はもう終わってると感じます。」
- 「攻撃の手口も巧妙化しているので、より強固な認証が必須でしょう。」
- 「でも新しい技術だからって年配の方やITに詳しくない人はついてこれるのか疑問です。サポート体制もちゃんとして欲しいですね。」
- 「フィッシングサイトがAIで大量に作られている現状本当に怖いです。自分は大丈夫と思わず備えるべきだと思います。」
- 「パスキーへの意向が数秒で終わるというのは魅力的。ただし実際の操作で迷う人も多そうなのでもっと分かりやすい説明が必要だと感じます。」
- 「昔ながらの方法ではもう守りきれない時代の変化に合わせて守り方も進化していかないとね。」