コラム
メルカリでパスキー不具合多発?ログインできない原因と代わりの認証方法
近年、パスワードに代わる次世代の認証方式として注目されている「パスキー」。その安全性や利便性から導入を進めるサービスも増えています。一方、ユーザー側では混乱や技術的な不具合も報告されています。 こうした中で、特にフリマアプリ「メルカリ」ではパスキー導入以降、一部のユーザーがログインできないといった問題が多発し、SNSでも話題になっています。 本記事では、メルカリで起きているパスキー認証にまつわるログイントラブルの実態と技術的な背景、さらには代替となる現実的な認証方法について解説します。 1. メルカリで発生しているパスキー認証トラブルとは? Togetterでも話題に:広がるログイン不具合 2024年秋頃から、SNS上で「メルカリにログインできない」という声が急増しています。中でもTogetterでは、実際に被害に遭ったユーザーたちの投稿がまとめられ、大きな注目を集めました。 「スマホでは使えていたが、パソコンからのログインが急にできなくなった」などの報告が相次いでいます。具体的には、USBセキュリティキーの挿入を求められるケースや、QRコードが表示されたもののスマートフォンで読み取るとエラーになるケースなど、複数のパターンが確認されています。 これらの投稿には、普段からメルカリを利用していたユーザーの困惑が色濃くにじんでおり、ログイン方法の変化に戸惑う声が数多く見られました。 「セキュリティキーをUSBポートに挿入してください」のアラートが多数報告 最も多く報告されているのが、「セキュリティキーをUSBポートに挿入してください」という表示によってログインができなくなるケースです。 セキュリティキーとは、USBメモリのような形状の本人確認用デバイスのことを指しますが、実際のユーザーたちの声によると、そのようなセキュリティキーなど設定した覚えがないとのこと。 これは、パスキーを登録した際にスマートフォン内に保存された「秘密鍵」が、他の端末では認証に使えないことが原因と考えられます。本来であれば、QRコードを利用した端末間の認証移行などが用意されているはずですが、メルカリ側の実装状況やAndroidなどの端末側の対応状況によって、正常に機能しないケースが確認されています。 問い合わせでも解決しないユーザーが続出 これらの問題について、サポート側でも新しい認証方式であるパスキーに対する知見やマニュアルが整っておらず、個別対応が難しい状況にあると考えられます。 実際にメルカリのカスタマーサポートに問い合わせたというユーザーからは、「キャッシュを削除してください」「別のブラウザをお試しください」といった、状況に即していないテンプレート対応ばかりが返ってくるとの声が多く、根本的な解決には至っていないケースが大半です。 結果として、メルカリの利用を断念せざるを得ない状況に直面するユーザーも見受けられ、運営に対する信頼感の低下を招く要因となっています。 2. パスキーの仕組みと課題 パスキーは秘密鍵を端末に保存する構造 パスキーは、従来のパスワードに代わる認証方式として開発された技術で、ユーザーの秘密鍵を各端末に保存する仕組みとなっています。 特に、指紋認証や顔認証といった生体認証を利用して本人確認を行うスタイルは、多くのユーザーにとって直感的で分かりやすく、パスワード入力の手間を省きつつ、高い安全性と利便性を実現しています。 ただし、この仕組みは「認証に使う秘密鍵が端末の中にある」という前提の上で成り立っています。そのため、たとえ同じアプリケーションであっても、別の端末からログインしようとすると、同じ秘密鍵がなければ認証は成立しません。 デバイス依存やプラットフォーム間の非互換が課題 「秘密鍵を各端末に保存する」というパスキーの前提構造が、逆にトラブルの原因となることもあります。 たとえば、スマートフォンでパスキーを登録した場合、パソコンから同じアカウントにログインしようとしても、秘密鍵が存在しないため認証できないか、あるいは追加の認証手段が求められる場合があります。 また、端末を機種変更した際も、設定内容やバックアップの状況によっては認証に失敗する事例も珍しくありません。 さらにAndroidやiOS、Windows、macOSといった異なるプラットフォーム間では、パスキーの管理方式や仕様に違いがあり、QRコードを使った連携がうまくいかないケースもあります。 実際に、PCに表示されたQRコードをスマートフォンで読み取った際、ログインエラーが発生したり、「別のデバイスで再試行してください」といったメッセージが表示される事例も確認されています。 端末間のバージョン差による動作不良も確認...
GmailのSMS認証が廃止へ|なぜ?フィッシング対策と二要素認証の今後
フォーブスの記事によると、GoogleはGmailのログイン時に利用されていたSMS認証を廃止する方針を発表しました。この変更はセキュリティの強化を目的としたものですが、なぜ今このタイミングで行われるのでしょうか? 本記事では、SMS認証が抱えるリスクやGoogleの方針、そして今後の代替認証手段について詳しく解説します。 1. GmailのSMS認証が廃止される理由 SMS認証の脆弱性(フィッシング詐欺とトラフィックポンピング) Gmailの広報担当者リッチェンドルファー氏と同僚のサムラ氏によれば、GmailのSMS認証廃止の背景には二つのセキュリティリスクがあるといいます。 一つ目はフィッシング詐欺のリスクです。 SMS認証コードは、偽のログインページを使ったフィッシング攻撃によって盗まれるリスクがあります。ユーザーが正規のGoogleサイトだと思い込み認証コードを入力すると、その情報が攻撃者に渡り、不正アクセスの危険性が高まります。その結果、アカウントが乗っ取られたり、個人情報が流出して被害が発生するケースも少なくありません。 二つ目は、トラフィックポンピングの被害拡大です。 これは詐欺業者がGoogleのSMS認証を悪用し、自分たちの管理する番号に大量の認証コードを送信させることで、手数料を不正に得る手口です。 本来SMS認証の実行時にはGoogleから通信キャリアに支払いが発生します。しかし、一部の通信キャリアは詐欺業者と結託し、Googleから受け取る手数料の一部を詐欺業者に還元することで、不正な利益を生み出しています。 こうした構造により、Googleは不要なコスト負担を強いられ、結果的にSMS認証の維持が企業にとって大きな負担となっています。 Googleが進めるセキュリティ強化の方向性 Googleは、SMS認証の廃止を単なる仕様変更ではなく、全体的なセキュリティ強化の一環と位置付けています。 SMS認証はフィッシング攻撃の標的になりやすく、さらにトラフィックポンピングによる不正なコスト負担を招くリスクもあります。そのため、Googleはより安全な認証方法への移行を進めています。 すでに生体認証や二要素認証の強化が進められており、さらなる対策として利便性と安全性を両立した新たな認証手段の導入が検討されています。 2. 代替案としての認証手段 二要素認証アプリ 二要素認証アプリとは、パスワードに加えてもう一つの認証要素を必要とすることで、セキュリティを強化する仕組みです。その代表例が「Google Authenticator」です。このアプリは、ログイン時にワンタイムパスワード(OTP)を生成し、そのコードを入力することで認証を行います。 SMS認証と異なり、フィッシング攻撃でコードを盗まれるリスクが低く、通信キャリアを経由しないためトラフィックポンピングの影響も受けません。 また、インターネット接続が不要なため、より安全な認証手段として多くのサービスで採用されています。 プッシュ通知型認証 Googleプロンプトは、スマートフォンに直接ログイン通知を送信し、ワンタップで認証を完了できる仕組みです。この方式の最大の特徴は、ユーザーが手入力でコードを入力する必要がない点です。 フィッシング攻撃では、偽のサイトでユーザーに認証コードを入力させる手口が一般的ですが、Googleプロンプトではそのような手法が通用しません。 ユーザー自身がログインリクエストを確認して承認するため、不正アクセスのリスクを大幅に減らすことができます。 パスキー 近年、Googleはパスワードレス認証の普及を進めており、その中心的な技術が「パスキー」です。パスキーは、指紋認証や顔認証、PINコードを利用して、従来のパスワード入力を不要にする認証方式です。 端末に直接認証情報を保存するため、外部からの攻撃によってパスワードが流出するリスクを防ぐことができます。さらに、ユーザーは複雑なパスワードを覚える必要がなく、セキュリティと利便性を両立できる点が大きなメリットです。...
国際犯罪組織の転売スキーム:不正カードを利用した詐欺の手口と対策
近年、クレジットカードの不正取引が急増しており、国際犯罪組織が関与するケースも増加しています。詐欺の手口は年々巧妙化し、従来の対策だけでは十分に対応しきれない状況が続いています。 本記事では、不正カード取引の手口やその後の転売の流れを明らかにし、EC事業者が直面するリスクとその対策について詳しく解説します。 1. 国際犯罪組織の手口 相次ぐ不正カード取引とその実態 近年、クレジットカード情報を不正に入手する犯罪が増加しています。 特に2023年は暴力団員が不正に入手したクレジットカード情報を利用し、高額な化粧品や日用品を大量に購入した後、フリマアプリを通じて転売・換金を行っていたことが発覚しました。 決済を複数の少額決済に分けて行うことで、不正検知システムを回避しやすい手法も用いられており、これが不正利用の発覚を遅らせた一因となっています。同年5~6月には、輸入販売業者や製薬会社など計38社が被害を受け、その総額は約150万円にのぼるとみられています。 背後に潜む組織的犯罪 このような不正カード取引の背後には、国際的な犯罪組織の関与が確認されています。今回の事件でも、日本国内で活動する暴力団が実行役となったものの、収益の大部分は中国などの海外へと渡ったとみられています。 日本人を狙った詐欺では、海外の犯罪組織が暗躍しているケースは珍しくありません。 東京未来大学こども心理学部の出口保行教授(犯罪心理学)は、性善説が根強い日本人は国際犯罪組織に狙われやすく、フィッシング詐欺による個人情報の流出が多発しており、被害への警戒が必要だとしています。 2. 不正転売の流れ フィッシング詐欺で個人情報を入手 不正転売スキームの第一段階として、犯罪者はフィッシング詐欺を利用してクレジットカード情報を不正に入手します。代表的な手口の一つとして、大手企業を装った偽のメールやウェブサイトを用い、カード所有者に情報を入力させる方法があります。 また、SNSやメッセージアプリを通じて偽のキャンペーンを装い、ユーザーを誘導するケースも増えています。 不正カードで商品購入 入手したクレジットカード情報を利用し、犯罪者は高額な化粧品や電子機器など、転売価値の高い商品を購入します。一度の購入金額が高すぎることが特徴の一つでしたが、最近では不正検知を避けるために複数の少額取引に分散させ、通常の購買行動を装うことがあります。 購入した商品の送付先住所はウィークリーマンションや宅配センターなど、カード所有者の住所とは異なる住所を記載し、所有者本人に気付かれる前に商品を受け取ります。 フリマで転売し換金 購入した商品は、フリマアプリやオークションサイトを通じて転売され、現金化されます。匿名性が確保されやすいプラットフォームを利用することで、取引の痕跡を残さずに換金することができ、換金後の追跡を困難にする手法が取られています。 このように不正転売スキームは、個人情報の詐取から商品購入・転売・換金まで一連のプロセスを通じて巧妙に実行されており、その件数は増加の一途を辿っています。 3. 広がる不正と対策の難しさ フィッシング詐欺の巧妙化 近年のフィッシング詐欺はますます巧妙化しています。攻撃者は公式サイトに酷似した偽メールや偽サイトを作成し、ユーザーが詐欺と見抜くことを困難にしています。 例えば、「あなたの情報が不正利用されています」といった警告メッセージで不安を煽り、騙されたユーザーがログイン情報を入力すると、その情報は即座に攻撃者へ渡ってしまうのです。さらにAIを活用したリアルタイムフィッシングが進化したことで、ユーザーが入力した情報を瞬時に悪用する手法も登場しています。これにより、ユーザーが気づく前に不正取引が実行できてしまうのが実状です。 フィッシング詐欺のターゲット自体も拡大しており、最近では個人だけでなく、企業の決済担当者や経理部門も標的となっています。特に、ビジネスメール詐欺(BEC)は深刻な被害をもたらし、適切な対策を怠れば企業は巨額の損失を被る可能性があります。 本人認証なしで進むネット取引のリスク...
公的個人認証(JPKI)とは?仕組み、最新動向、課題を詳しく解説
近年、フィッシング詐欺やなりすましなど、インターネット上の不正行為が増加し社会問題となっています。そこで注目されているのが、マイナンバーカードに格納されている電子証明書を利用する公的個人認証(JPKI)です。本記事では、JPKIの仕組みや最新動向を解説するとともに、実効性や課題についても掘り下げてご紹介していきます。 1.公的個人認証(JPKI)の最新動向 公的個人認証とは 公的個人認証(JPKI)は、インターネット上で本人認証を安全かつ確実に行うためのシステムです。行政手続きやオンラインサービスでの認証が効率化され、不正アクセスや情報漏洩のリスクを軽減します。紙媒体で行われていた申請や手続きをオンライン化することも可能となり、利便性が向上するだけでなく、手続きの透明性や正確性も高まります。 JPKIでは、マイナンバーカードのICチップに格納された電子証明書を使い、利用者が暗証番号を入力することで本人認証を行います。公開鍵暗号方式が採用され、「公開鍵」と「秘密鍵」というペアが用いられます。 公開鍵はシステム側で使用される一方、秘密鍵はICチップ内に厳重に保管され、外部からアクセスできません。認証時にはこの2つが連携して動作し、不正アクセスやデータの改ざんを防ぐ仕組みが実現されています。 基本的な使い方 公的個人認証(JPKI)を利用するには、初期設定が必要です。まず、市区町村の窓口でマイナンバーカードを発行する際に、カード内のICチップに電子証明書を登録します。この際に、署名用と利用者証明用それぞれの暗証番号を設定します。署名用には6~16桁、利用者証明用には4桁の暗証番号が必要です。 利用環境に応じて、カードを読み取るためのICカードリーダーやNFC対応スマートフォンを準備。一部のスマートフォンでは専用アプリのインストールが求められる場合もあります。 利用時には、対応するウェブサービスやアプリを開き、マイナンバーカードをカードリーダーやスマートフォンにセットします。画面の指示に従い、設定した暗証番号を入力することで、電子証明書が読み取られ、本人認証が完了。 初期設定を終えれば、以降の利用は暗証番号の入力だけでスムーズに進められます。 最新動向について 公的個人認証(JPKI)の利用に必要となるマイナンバーカードは、普及が着実に進んでいます。総務省の発表によると、保有率は人口の70%を超えており、健康保険証としての利用が開始されたことは、マイナンバーカードの普及をさらに後押しする要因となっています。 また、地方自治体や政府による行政手続きのデジタル化が進み、住民票や戸籍謄本のオンライン取得、電子申告(e-Tax)など、JPKIが必要とされるシーンが増加。銀行口座の開設やクレジットカード申し込みなど、民間サービスでの利用も増え、行政以外の場面でもJPKIが身近な存在になりつつあります。 2024年5月には、Appleが2025年春後半から日本でAppleウォレットにマイナンバーカードを追加できる機能を展開すると発表しました。iPhoneユーザーはマイナンバーカードをウォレットに追加し、対面やiOSアプリ上で安全かつ便利に身分証明書を提示できるようになります。 Face IDやTouch IDによる認証と非接触リーダーを活用した仕組みは、物理カードを持ち歩く必要をなくし、利便性を大きく向上させ、JPKIの普及促進にもつながると期待されています。 2.JPKIが抱える課題 マイナンバーカードの普及率やリテラシーの問題 マイナンバーカードの普及率は人口の70%を超えていますが、本人認証の利用において取り残される人々の存在が課題となっています。普及率が90%を超える携帯電話と比較すると、マイナンバーカードが行き渡っていない層が依然として多いのが実態です。 特に、高齢者やデジタル機器に不慣れな層では、カードの申請や暗証番号の設定、電子証明書を活用した認証操作に対する負担感が大きく、複雑で難しいと感じられる場合が少なくありません。また、地方部ではカードの利用機会が限られており、本人認証の必要性や利便性が十分に伝わっていないことが障壁となっています。 これらの課題は、JPKIを活用した本人認証の普及を進める上で大きな課題となっています。 暗証番号が必要 JPKIを利用する際には、マイナンバーカードのICチップに格納された電子証明書を読み取る必要があります。その際、利用者証明用電子証明書を使用するために設定された「4桁の暗証番号」が求められます。問題となるのが、暗証番号が他人に漏えいした場合のリスクです。暗証番号が漏えいすると、第三者がなりすましを行い、本人になり代わってマイナンバーカードを利用できる可能性があります。また、多くの人が暗証番号として誕生日や簡単な数字の組み合わせを設定しがちであるため、推測されやすいケースも少なくありません。このような設定は特にフィッシング詐欺などの手口に対して脆弱性を持ち、JPKIの安全性に影響を及ぼす懸念があります。 電子証明書の有効期限 JPKIを利用する際に必要な電子証明書には、有効期限が設定されています。マイナンバーカードに格納された電子証明書は、署名用電子証明書が5年、利用者証明用電子証明書が発行から5年またはマイナンバーカードの有効期限までという制限があります。有効期限が切れると、本人認証や署名機能が使用できなくなり、再発行手続きが必要です。 有効期限の存在は、セキュリティを維持するための重要な仕組みですが、利用者にとっては更新手続きの手間や期限切れのリスクが課題となっています。期限を忘れてしまった場合、必要なタイミングで電子証明書が使えなくなる可能性があるため、利用者にとって大きな不便を伴うことがあります。 運用基盤の安定性 JPKIを利用した本人認証では、マイナンバーカードの電子証明書を支える公的個人認証サービスの運用基盤の処理能力と信頼性が重要です。この運用基盤は、電子証明書の発行や有効性確認を行う認証局や関連システムで構成されています。...
増加する転売行為の実態とその影響:ブランドを価値を守るInfront Securityの解決策
転売行為は年々増加し、多くのブランドが直面する深刻な課題となっています。人気グッズや限定商品が正規ルートを離れ、高額なプレミア価格で取引される現状は、正規顧客の不満を招き、ブランド価値を揺るがしかねない大きなリスクをはらんでいます。しかし、転売を完全に阻止することは法律や技術面の限界もあり、決して簡単ではありません。 本記事では、転売行為の実態と、ブランドに与える影響を詳しく解説。さらに、Infront Securityの認証ソリューションが、なぜ転売対策として有効なのかを紹介します。 1.増え続ける転売行為 転売行為は、今やブランド価値や顧客との信頼関係に直接的な悪影響を及ぼす深刻な問題です。特に人気商品や限定アイテムがターゲットになりやすく、正規顧客が購入できない状況が続いています。また、転売対策として購入制限や抽選販売を導入しても、商品の希少性が高まることで転売業者の利益をさらに拡大する結果になることもあります。 ここでは、最近ニュースとなった具体例を見ていきましょう。 ディズニーグッズ 2024年8月29日、東京ディズニーリゾートで新たに発売されたダッフィーの限定グッズが転売のターゲットとなり、約80人の転売業者とみられる集団が開園前に集まりました。彼らは列への割り込みや場所取りを行い、一部のグッズはフリマサイトで定価の2倍近い価格で転売されています。ファンからは「正規価格で手に入れられないのは非常に残念」との声が上がっています。 ニンテンドーミュージアムグッズ 2024年10月2日にオープンした「ニンテンドーミュージアム」でも、限定グッズが高額転売される事態が発生しました。「Nintendo Switch」キーホルダーやマリオが描かれたクッキー缶などが、フリマサイトで定価の2倍以上の価格で取引され、任天堂はグッズの購入個数制限を公式SNSで発表。転売目的の購入者が「購入制限で貴重」と煽るケースも確認されています。 ポケモングッズ 2024年11月21日、「ポケットモンスター 金・銀」25周年記念グッズが「ポケモンセンターオンライン」で先行販売されましたが、サイトへのアクセス集中で購入が困難に。多くの商品が午前中に売り切れ、フリマサイトで定価の2倍以上で転売される事態が発生しました。「仮想待合室が設けられていなかった」との指摘や不満の声がX(旧Twitter)で相次ぎました。 2.転売がブランド価値へもたらす影響 転売行為は、単に商品が別の消費者に渡るだけでなく、ブランドの健全な運営や顧客との信頼関係に悪影響を及ぼします。ここでは、転売がブランド価値にどのような問題をもたらすのか、主に3つの側面から解説します。 正規顧客の満足度低下 転売行為により、正規の顧客が商品を購入できなくなる状況が頻発します。特に、限定商品や人気商品の場合、転売市場で高値がつけられることで、購入意欲の高い顧客層が正規価格で商品を手に入れられないという問題が顕著です。このような状況は、顧客のブランドへの信頼を損ねるだけでなく、長期的なファンの離脱を引き起こす可能性があります。 ブランドイメージの毀損 転売市場における商品の不当な価格高騰や品質保証の欠如は、ブランドイメージに直接的な悪影響を与えます。例えば、転売品が高額なだけでなく、不良品や偽物が混在している場合、消費者はブランド自体の信用を疑うようになってしまうのです。結果としてブランドが本来持つ「信頼性」や「希少性」が損なわれ、長期的なブランド価値の低下に繋がります。 管理コストの増加 転売対策に取り組めば取り組むほど、事業者側は本人確認システムや転売監視体制の構築に多大なコストが生じるでしょう。直接的な運用コストの増加をもたらすだけでなく、法的対応や顧客対応のリソースを圧迫します。事業者が本来注力すべき商品開発や顧客サービスへのリソースが減少し、ブランドの成長が阻害される可能性があります。 3.転売を直接阻止することは困難 転売行為を完全に防ぐには、複雑な要因が絡み合い、現実的に非常に難しい状況です。以下の3つの要因がその主な理由です。 法規制の限界 転売行為そのものを違法とする法律は多くの国で整備されておらず、特に国外での転売行為やオンラインでの匿名取引に対しては法的な規制がほぼ及びません。 ・匿名性の高い取引:オークションサイトやCtoCプラットフォームでは、売り手と買い手が匿名でやり取りするため、規制が困難です。・国境を越えた取引:国外での転売は国内法の適用が難しく、事実上取り締まることができません。 法的な枠組みだけでは、転売行為の抑止には限界があるのが実情です。 技術的対策の限界 多くの事業者が本人確認や販売履歴追跡などの技術的な対策を導入していますが、これらにも限界があります。...
「フィッシング詐欺」過去最悪の被害額541億円:最新動向と対策を解説
フィッシング詐欺被害の規模は年々拡大し、2023年の被害額は過去最悪の541億円に達しました。国民生活センターにも数多くの相談が寄せられています。こうした状況を受け、官民一体となった啓発キャンペーンが展開され、消費者向けのチェックリストが公開されています。しかし、これらの対策だけでは十分ではないのが実態です。本記事では、相談事例や現状の対策の課題を整理し、事業者が講じるべき対応策を解説します。 1.フィッシング詐欺の被害額は過去最悪 国民生活センターによると、フィッシング詐欺の被害が急増し、2023年には被害額が過去最悪の541億円に達しました。背景には、インターネット利用のさらなる普及や、オンライン取引が日常化したことが挙げられます。また、詐欺グループの手口が年々巧妙化しており、メールやSMSだけでなく、多様なチャネルを活用してターゲットに接触する事例が増加しています。 消費者庁の報告によると、被害は特定の世代や地域に限らず、幅広い層に広がっているようです。高齢者だけでなく、デジタルに慣れた若年層も被害に遭うケースが目立ち、これまで安全とされていた認証システムを逆手に取るような手法も確認されています。 こうした詐欺が広がる背景には、多くの人が「自分は被害に遭わない」という過信や、忙しい日常で十分な注意が払えない現状もあります。 2.国民生活センターへ寄せられた相談事例 ここでは、実際に国民生活センターへ寄せられた詐欺被害の相談事例について紹介していきます。フィッシング詐欺がいかに日常に潜んでいるかを物語っています。被害者に共通するのは、偽の通知やメールを「本物」と信じてしまう状況に陥った点です。 【事例1】通販サイトからメールが届き、クレジットカード番号を入力したら不正利用された 大手通販サイトから携帯電話に「会員満期通知」という件名でメールが届いた。メールを開く と、「月会費 550 円が引き落としできませんでした」と書いてあり「会員ログイン」という記載が あったのでタップして遷移した。切り替わったページにはクレジットカード番号を入力する欄が あったのでクレジットカード番号を入力した。しばらくして、クレジットカード会社から連絡が あり、第三者に5万円使われたことがわかった。どうすればいいか。(2023 年 5 月受付 年代不明 女性) 【事例2】不在通知の SMS が届き、パスワード等を入力したらキャリア決済で課金された 宅配業者から不在通知の SMS が届き、詳細を確認するために記載されていたリンク先の URL か らログインしてパスワード等を入力した。その後、キャリア決済によって身に覚えのないオンラ インゲームで約1万...
