これまで幅広く採用されてきたパスワード認証ですが、パスワード漏洩のインシデントは後を絶ちません。
パスワード認証では、セキュリティを強化しようとするとユーザーの離脱率が上昇するというジレンマに直面します。
本記事では、パスワード認証の課題を検証し、今後主流となるパスワードレス認証の仕組みや、そのメリット・デメリットを解説していきます。
1.相次ぐパスワード漏洩インシデント
マルカワ味噌の不正アクセス事例
味噌の製造・販売を行うマルカワみそは、2024年4月2日に同社の通販サイト(ECサイト)への不正アクセス被害を発表しました。
この不正アクセスにより、約8万9673人分の顧客個人情報と5447件のクレジットカード情報が漏洩した可能性があるとされています。
発覚のきっかけは、2023年11月6日にクレジットカード会社からマルカワみそに対してクレジットカード情報の漏洩懸念の連絡があったことでした。
さらに、2024年5月7日に追加の情報が公開され、ECサイトのマイページにログインするためのパスワードも漏洩した可能性があることが明らかになりました。
パスワードを記載したファイルが外部に漏洩した可能性があり、これにより2023年11月6日までにマイページ登録を行った2万606人のユーザーが影響を受けるとされています。
パスワードファイルに記載されていたパスワードが平文であったかどうかなどの詳細は説明されていませんが、同社は他社サービスで同じパスワードを使用している場合は、念のため他社サービスのパスワードを変更するよう顧客に呼びかけています。
パスワード漏洩によるリスク
マルカワみそのようなパスワード漏洩インシデントは枚挙にいとまがありません。
パスワードが漏洩することによりどのような脅威が生じるのでしょうか。
まず、漏洩したパスワードが悪意のある第三者の手に渡ると、アカウントへアクセスされ、直接的に個人情報を取得したり、不正利用したりするリスクが高まります。
特に、同じパスワードを複数のサービスで使いまわしている場合、一つのサイトでの漏洩が連鎖的に他のサービスにも影響を及ぼすことがあります。
「リスト型攻撃」と呼ばれ、非常に深刻な問題です。
さらに、攻撃者は取得したパスワードを用いて他のアカウントに不正アクセスを試みることができます。
例えば、メールアカウントに不正アクセスされると、そこから他のサービスのパスワードリセットリンクを取得し、さらに多くのアカウントにアクセスできるようになる可能性があります。
また、攻撃者は、漏洩したパスワードを使ってユーザーになりすまし、他の人々を騙してさらに多くの情報を取得しようとするかもしれません。
企業にとっても、パスワード漏洩は重大な問題です。
顧客の信頼を失うことは、ビジネスにとって致命的です。
顧客はセキュリティ対策が不十分な企業を避けるようになり、結果として売上の減少やブランドイメージの損失につながることがあります。
2.セキュリティの強化とドロップ率のジレンマ
パスワード認証を強化する方法そのものは存在します。
ただし、ユーザー体験が低下し、ドロップ率が上昇するというデメリットが顕著です。
パスワードの複雑化
具体的なパスワードの複雑化の手段としては、最低でも8文字以上、アルファベットの大文字と小文字、数字、特殊文字(!、@、#、$など)の組み合わせを要求することが一般的です。
同じパスワードの再使用を禁止し、定期的にパスワードの変更を促すケースも散見されます。
複雑なパスワードは、予測されにくく、攻撃者からアカウントを守る効果があることは間違いありません。
しかし、多くのユーザーは長く複雑なパスワードを覚えることに困難を感じ、結果としてパスワードを忘れやすくなります。
パスワードリセットの頻度が増え、ユーザーのログイン成功率が低下し、最終的にはサービス利用のドロップ率が上昇するデメリットが同時に存在します。
パスワード管理の煩雑さ
サービスごとに異なるパスワードを設定することが求められますが、複数のパスワードを管理することはユーザーにとって大きな負担です。
多くの人がブラウザの自動保存機能を利用していますが、これにはリスクを伴います。
例えば、他人がデバイスへ物理的にアクセスした場合、保存されたパスワードが簡単に盗まれてしまうのです。
マルウェアに感染した場合も、保存されたパスワードが流出する危険があります。
パスワードの変更や更新も煩雑さを増す要因です。
多くのサービスは定期的なパスワード変更を推奨しており、管理しているパスワードを都度最新の状態に更新する必要があります。
パスワード管理の煩雑さを軽減するために、パスワードマネージャーが推奨されることも多いですが、リテラシーが低い高齢者などには使いこなすのが難しい場合があります。
複雑な認証方法
認証方法を複雑化することは、セキュリティを強化する手段の一つです。
例えば、二段階認証では、パスワードに加えてSMSによる確認コードの送信、専用アプリによるワンタイムパスワードの生成、またはハードウェアトークンの利用などがあります。
これらの追加手順は、確かにセキュリティを大幅に向上させますが、ユーザーにとっては手間が増え、ログインに時間がかかる原因となります。
一部の技術に不慣れなユーザーにとっては、認証手順を理解することすら難しい場合があります。
結果として、セキュリティは強化されたものの、サービスの利用が避けられてしまうというジレンマに陥ってしまうのです。
3.今後はパスワードレス認証が主流へ
パスワードの複雑化や管理の煩雑さに対処するため、パスワードレス認証が注目されています。
ユーザーがパスワードを覚える必要がなく、よりシンプルで安全な認証方法です。
ここでは、パスワードレス認証の代表的な手段の1つである、パスキー認証について解説していきます。
パスキー認証の仕組みとメリット
パスキー認証では、まずユーザーがサービスに登録する際、デバイス上に秘密鍵が自動的に生成されます。
秘密鍵はデバイス内に安全に保存され、対応する公開鍵がサービス側に送信されます。
ログイン時には、ユーザーが生体認証機能(指紋認証や顔認証など)を利用してデバイスにアクセス。
生体認証が成功すると、デバイスは秘密鍵を使ってサービス側からの認証要求に対する署名を生成。
署名は、ユーザーのデバイスにしかない秘密鍵で生成されるため、非常に安全です。
サービス側は、事前に登録された公開鍵を使ってこの署名を検証し、ユーザーの本人確認を行う仕組みです。
パスワードの代わりに、指紋や顔などの生体認証を利用するだけでログインが完了するため、ユーザーはパスワード管理の煩雑さから解放されます。
また、秘密鍵はデバイスから外に出ることがないため、フィッシング攻撃やリスト型攻撃に対する耐性が高い点もメリットです。
パスキー認証のデメリット
パスキー認証には初期登録が必要ですが、技術に不慣れなユーザーには難しく感じられる可能性があります。
新しいセキュリティ概念を理解するのが難しく、「この設定をしても大丈夫か?」といった不安が生じたり、生体認証の使用に慣れていない場合、設定や問題解決が困難に感じられる可能性があります。
認証には特定のスマートフォンやパソコンなどが必要であり、デバイス依存である点もデメリットです。
固定電話や古いデバイスでは利用できないため、すべてのユーザーに対応するわけではありません。
また、ユーザーがデバイスを紛失したり故障した場合、秘密鍵にアクセスできなくなり、ログインが困難になることもあります。
事業者側にとっても、既存のシステムを改修し新たなインフラを整備する必要があり、導入に当たってはコストや技術的な負担が伴います。
従業員のトレーニングやユーザーサポート体制の強化も必要です。
4.Infront Securityはパスワードレス認証の最適解
パスキー認証が持つメリットはそのままに、デメリットも補えるのがInfront Securityです。
次に主流となるパスワードレス認証の最適解であるInfront Securityの特徴について解説します。
高い安全性
特許技術に基づき、顧客データベース(DB)に登録されている電話番号と利用者から発信された電話番号を認証サーバで照合し、端末認証を行います。
併せて接続している端末の端末情報を取得し端末DBに電話番号、端末情報を登録します。
これによりID入力のみ(パスワード入力も可能)で利用者の端末情報の認証を組み合わせることで、ワンタイムパスワード等の入力を不要とし、簡単かつセキュアなログイン方法を提供しています。
既存のIDとパスワードに加えて、上記の端末情報を使用する二要素認証となっています。
万が一IDとパスワードが漏洩しても、登録済みの利用者端末以外からのログインは不可能です。
誰でも簡単に利用可能
Infront Securityでは、スムーズでユーザーフレンドリーな認証プロセス により、顧客の離脱率 を大幅に減少させます。
ユーザーはワンタップするだけで初回認証が完了し、照合が完了した後は自動的に接続が切断され、迅速に認証を通過する仕組みです。
2回目以降はIDの入力(電話番号など)だけでログインできます。
通話が可能な電話番号であれば全て利用可能であり、生体認証機能などが必要なパスキー認証と違い、デバイスに依存しません。
高い拡張性
実装にコストを要し導入ハードルが高いパスキー認証と異なり、Infront Securityは、様々なウェブサイトやアプリケーションへ簡単に導入でき、ユーザーは同じ電話番号で複数のサービス にログイン可能です。
既存ユーザーのログインや決済での不正抑止以外にも、トライアル商品の転売抑止のための偽アカウント防止や、不正が起きやすい高額商品に限定するなど、認証や決済が必要な場面へ、あらゆる粒度で機動的に導入できる点が支持されています。
サイト利用率/CV率/売上増
パスワードを覚えなくても誰でも簡単に、幅広いデバイスからログインできること、セキュリティ対策が強化されることによりサイトに対する安心感が向上するなど、ユーザーエクスペリエンスの向上 に伴って、サイトの利用率やコンバージョン率が上昇し、結果として売上が増大します。
Infront Securityは、パスキー認証では実現が難しい、セキュリティの強化とコンバージョン率の向上を両立可能なツールです。
