コラム
“パスキーなら安全”は本当か——アコム登録停止で露呈したフィッシング耐性の限界
近年、AIが悪用された高度なフィッシング攻撃の登場により、パスワードやSMS OTPといった従来の認証方式の脆弱性が露呈しています。 こうした背景から、パスキー(生体認証を含むFIDO準拠の認証方式)は、フィッシングに強く安全な代替手段として注目され、金融サービスをはじめ導入が進んでいます。しかし2025年7月末、大手消費者金融のアコムがセキュリティ上の理由から新規の生体認証登録を一時停止すると発表し、その“絶対的な安全神話”に揺らぎが生じています。 本記事では、アコムの発表内容とその背景、そして生体認証の限界を補う具体的な解決策について解説します。 1. アコムが生体認証登録の一時停止を発表 2025年7月31日に緊急告知 アコム株式会社は2025年7月31日付で、公式サイトにて「新たな生体認証登録を一時停止する」との緊急告知を発表しました。同社は、偽のログインページで利用者が情報を入力する被害が確認されたため、被害拡大を防ぐ目的で新規登録を一時停止したと説明しています。 これにより、アプリの初回ログイン時やログイン後に生体認証の新規登録を行おうとするとエラーが表示され、手続きが完了できない状態となっています。すでに登録済みの利用者には影響がないとされるものの、セキュリティへの信頼性に疑問を抱かせる結果となりました。 利用できなくなるサービス一覧と代替手段 今回の一時停止措置は「新規の生体認証登録」のみが対象で、既存ユーザーは従来どおり利用できます。一方で、未登録の利用者は、ローン申込や契約手続きの一部に支障が出るほか、以下の機能が利用できなくなります。 スマホATMでの借入 クレジットカード情報の確認 暗証番号照会 アプリ経由でのApple Pay・Google Pay登録 急ぎで融資を受けたい利用者については、「口座振込による借入」を代替手段として利用できると案内されています。 登録停止はあくまで一時的な措置とされていますが、再開の時期は明らかにされておらず、利用者は当面の間、最新の発表を確認しながら対応する必要があります。 2. なぜ“登録停止”という強硬策に至ったのか 消費者金融を狙うフィッシング詐欺の急増 2024年秋ごろから、消費者金融の利用者を狙ったフィッシング詐欺が急増しています。典型的な手口は、偽のメールやSMSを送付し、あるいは検索広告を経由して偽サイトへ誘導するというものです。 消費者金融には、攻撃者にとって狙いやすい特性がいくつかあります。 スマホからの利用が中心であり、リンクを踏んですぐにログインするケースが多い 急ぎで資金を必要とする利用者が多く、冷静な判断が難しい アプリ内でATM出金や決済、暗証番号照会といった価値の高い機能に直結している 攻撃の流れとしては、偽サイトに誘導された利用者が会員番号やパスワード、暗証番号を入力し、その直後に不正利用や登録フローの乗っ取りが行われるというものです。本物そっくりのドメイン(typoやPunycode)、緊急を装う文言、さらには偽のサポート電話を併用する例も確認されています。 今回のアコムによる登録停止も、こうした背景にある攻撃環境を踏まえた対応であり、特定の企業だけでなく業界全体に及ぶリスクが存在していることを示しています。 生体認証の導入目的と裏目に出たリスク...
お知らせ一覧
【保存版】電話認証の種類と仕組みまとめ|技術の違いと導入時のポイントを解説
電話認証は、オンラインサービスの不正利用防止やセキュリティ強化に欠かせない仕組みです。本記事では、SMS認証、IVR認証、電話発信認証、電話発信×端末認証の4種類の技術について、それぞれの特徴や仕組みをわかりやすく解説します。 導入される業界や活用シーンにも触れながら、自社に最適な認証方式を選ぶための基礎知識を提供します。 1. 電話認証とは?種類と仕組みをわかりやすく解説 そもそも電話認証とは何か? 電話認証とは、ユーザーの電話番号を使って本人確認を行う仕組みです。ID・パスワード認証に加え、電話回線を利用した二要素認証を組み合わせることで、本人確認の精度を高め、複数アカウントの作成やなりすまし、不正アクセスを防ぎます。現在は、SMSでコードを送る方式のほか、ユーザーが指定番号に電話をかけて認証する方式や、端末情報と連動させた高度な認証も登場しています。 これらはセキュリティの高さや利用環境に応じて選べるのが特長で、導入によって不正防止によるコスト削減や、認証がスムーズになることで離脱率を減らす効果も期待できます。 導入されている業界や利用シーン 電話番号は「複製が難しい」という特性から、多くの業界で幅広く活用されています。 例えばECサイトでは、初回クーポンの不正利用やサブスクリプション型サービスの無料トライアルを何度も申し込む行為を防ぐため、1つの電話番号につき1アカウントと制限しています。この仕組みにより、実在する番号だけが登録でき、架空アカウントの排除や健全な運営、収益の確保につながります。 チケット販売やイベント予約でも同様に、転売目的による大量アカウント作成を防止します。購入前に電話認証を挟むことで、実在する利用者だけが申し込める仕組みを作り、公平な販売環境を維持できます。 この「複製が難しい」という特性はセキュリティ面でも有効です。金融・証券業界では、IDやパスワードが漏れても本人からの電話発信がなければログインできず、フィッシング詐欺の対策として機能します。 さらに近年は行政サービスや公共料金支払いにも広がり、本人確認精度が求められる手続きで不正を防ぎつつ、高齢者やネット利用が不慣れな人にも使いやすい技術として注目されています。 2. SMS認証:最も一般的な電話認証技術 SMS認証の仕組みと流れ SMS認証は、ユーザーが登録した電話番号宛にワンタイムパスコード(OTP)をSMSで送信し、そのコードを入力させて本人確認を行う方式です。サービス側はユーザーが入力したコードと送信したコードを照合し、一致すれば認証成功となります。 コードは短時間で有効期限が切れるよう設定され、不正利用にも対策されています。 実装は比較的容易で、スマートフォン標準のSMS機能を活用できるため、多くのWebサービスやアプリに採用されています。 メリットとデメリット SMS認証のメリットとして、まず追加アプリや専用機器を必要とせず、SMS受信とコード入力だけで利用できる点が挙げられます。これにより、年齢層やITリテラシーを問わず直感的に操作でき、アプリのインストールやアカウント連携が不要な分、離脱率の低下にもつながります。 既存のスマートフォンと通信網を活用できるため初期投資がほぼ不要で、API連携のみで導入可能なサービスも多く、開発期間の短縮にも有効です。さらに、ガラケーを含むほぼすべての携帯電話で利用できるなど、対応環境の幅広さも大きな利点です。 ただし、ランニングコストは想定以上に高くなる場合があります。例えば「1回の認証=1通のSMS送信」が前提でも、再送や入力ミスで平均4通程度になる事例があり、その分通数課金が増加します。 さらに、SMS受信用番号を大量取得・貸し出す業者の存在や、データSIM契約による容易な番号入手が不正利用やなりすましの温床となっている点も課題です。 加えて、回線状況やキャリア障害による遅延・不達、6桁コードの総当たり攻撃やSIMスワップ、端末乗っ取り、マルウェアによる傍受などセキュリティ面のリスクも残ります。 端末操作に不慣れな層やSMS利用経験のないユーザーは認証を完了できず離脱する恐れもあります。 向いているユースケースと注意点 SMS認証は、ECサイトの会員登録やパスワードリセット、ポイント交換など、中〜低リスクの取引に適しています。 例えば、オンラインゲームやSNSでの多重アカウント作成や短期間での大量登録を行う業者・BOTの排除に有効です。また、フリーWi-Fi利用登録やキャンペーン応募など、高度なセキュリティよりもスムーズな利便性が求められる場面でも活用できます。 一方、SMSが届かない場合の再送機能は利便性を高める反面、不正利用のリスクを伴う可能性があります。...
お知らせ一覧
AI時代に問われる生体認証の安全性:脅威と対策の最新情報
生体認証はパスワードに代わる便利な認証手段として普及が進んでいます。しかし、AI技術の進化はディープフェイクなどの新たな脅威も生み出しており、その安全性に注目が集まっています。本記事では、生体認証の基礎知識から最新の脅威、そして多層防御やゼロトラストといった有効なセキュリティ対策までを網羅的に解説。AI時代の生体認証を安全に活用するためのポイントが分かります。 1. 生体認証技術の概要 生体認証とは、指紋、顔、虹彩、声、静脈といった個人の身体的特徴や、署名、キーストロークといった行動的特徴など、人それぞれに固有の生体情報を利用して本人確認を行う技術です。従来の知識情報(パスワードやPINコード)や所持情報(ICカードや鍵)による認証方法と比較して、紛失や盗難のリスクが低く、なりすましが困難であるという大きなメリットがあります。また、利用者がパスワードを記憶したり、認証媒体を携帯したりする必要がないため、利便性の向上にも大きく貢献します。デジタル化が急速に進展する現代社会において、オンラインサービスへのログイン、金融取引、施設の入退室管理など、多岐にわたるシーンで生体認証の活用が拡大しており、私たちの生活に不可欠なセキュリティ技術となりつつあります。 1.1 身体的特徴を利用する認証 生体認証技術は、認証に用いる生体情報によって、主に「身体的特徴(Static Biometrics)」を利用するものと、「行動的特徴(Behavioral Biometrics)」を利用するものに大別されます。 身体的特徴を利用する認証とは、個人の身体そのものが持つ不変的な特徴を読み取って認証する方式です。 ■ 指紋認証 概要・仕組み 指先の紋様(隆線パターン)を読み取り、登録された指紋と照合 光学式、静電容量式、超音波式などの方式がある メリット 個人ごとに異なるため認証精度が高い 小型化しやすく、スマホなどに組み込みやすい 比較的低コストで導入できる デメリット・課題 指の乾燥や濡れ、傷などで認証失敗の可能性 残った指紋からの偽造リスク 接触型は衛生面での懸念あり 主な利用シーン スマートフォンやPCのログイン 勤怠管理、入退室管理 キャッシュレス決済端末など ■ 顔認証 概要・仕組み...
お知らせ一覧
メルカリでパスキー不具合多発?ログインできない原因と代わりの認証方法
近年、パスワードに代わる次世代の認証方式として注目されている「パスキー」。その安全性や利便性から導入を進めるサービスも増えています。一方、ユーザー側では混乱や技術的な不具合も報告されています。 こうした中で、特にフリマアプリ「メルカリ」ではパスキー導入以降、一部のユーザーがログインできないといった問題が多発し、SNSでも話題になっています。 本記事では、メルカリで起きているパスキー認証にまつわるログイントラブルの実態と技術的な背景、さらには代替となる現実的な認証方法について解説します。 1. メルカリで発生しているパスキー認証トラブルとは? Togetterでも話題に:広がるログイン不具合 2024年秋頃から、SNS上で「メルカリにログインできない」という声が急増しています。中でもTogetterでは、実際に被害に遭ったユーザーたちの投稿がまとめられ、大きな注目を集めました。 「スマホでは使えていたが、パソコンからのログインが急にできなくなった」などの報告が相次いでいます。具体的には、USBセキュリティキーの挿入を求められるケースや、QRコードが表示されたもののスマートフォンで読み取るとエラーになるケースなど、複数のパターンが確認されています。 これらの投稿には、普段からメルカリを利用していたユーザーの困惑が色濃くにじんでおり、ログイン方法の変化に戸惑う声が数多く見られました。 「セキュリティキーをUSBポートに挿入してください」のアラートが多数報告 最も多く報告されているのが、「セキュリティキーをUSBポートに挿入してください」という表示によってログインができなくなるケースです。 セキュリティキーとは、USBメモリのような形状の本人確認用デバイスのことを指しますが、実際のユーザーたちの声によると、そのようなセキュリティキーなど設定した覚えがないとのこと。 これは、パスキーを登録した際にスマートフォン内に保存された「秘密鍵」が、他の端末では認証に使えないことが原因と考えられます。本来であれば、QRコードを利用した端末間の認証移行などが用意されているはずですが、メルカリ側の実装状況やAndroidなどの端末側の対応状況によって、正常に機能しないケースが確認されています。 問い合わせでも解決しないユーザーが続出 これらの問題について、サポート側でも新しい認証方式であるパスキーに対する知見やマニュアルが整っておらず、個別対応が難しい状況にあると考えられます。 実際にメルカリのカスタマーサポートに問い合わせたというユーザーからは、「キャッシュを削除してください」「別のブラウザをお試しください」といった、状況に即していないテンプレート対応ばかりが返ってくるとの声が多く、根本的な解決には至っていないケースが大半です。 結果として、メルカリの利用を断念せざるを得ない状況に直面するユーザーも見受けられ、運営に対する信頼感の低下を招く要因となっています。 2. パスキーの仕組みと課題 パスキーは秘密鍵を端末に保存する構造 パスキーは、従来のパスワードに代わる認証方式として開発された技術で、ユーザーの秘密鍵を各端末に保存する仕組みとなっています。 特に、指紋認証や顔認証といった生体認証を利用して本人確認を行うスタイルは、多くのユーザーにとって直感的で分かりやすく、パスワード入力の手間を省きつつ、高い安全性と利便性を実現しています。 ただし、この仕組みは「認証に使う秘密鍵が端末の中にある」という前提の上で成り立っています。そのため、たとえ同じアプリケーションであっても、別の端末からログインしようとすると、同じ秘密鍵がなければ認証は成立しません。 デバイス依存やプラットフォーム間の非互換が課題 「秘密鍵を各端末に保存する」というパスキーの前提構造が、逆にトラブルの原因となることもあります。 たとえば、スマートフォンでパスキーを登録した場合、パソコンから同じアカウントにログインしようとしても、秘密鍵が存在しないため認証できないか、あるいは追加の認証手段が求められる場合があります。 また、端末を機種変更した際も、設定内容やバックアップの状況によっては認証に失敗する事例も珍しくありません。 さらにAndroidやiOS、Windows、macOSといった異なるプラットフォーム間では、パスキーの管理方式や仕様に違いがあり、QRコードを使った連携がうまくいかないケースもあります。 実際に、PCに表示されたQRコードをスマートフォンで読み取った際、ログインエラーが発生したり、「別のデバイスで再試行してください」といったメッセージが表示される事例も確認されています。 端末間のバージョン差による動作不良も確認...
お知らせ一覧
GmailのSMS認証が廃止へ|なぜ?フィッシング対策と二要素認証の今後
フォーブスの記事によると、GoogleはGmailのログイン時に利用されていたSMS認証を廃止する方針を発表しました。この変更はセキュリティの強化を目的としたものですが、なぜ今このタイミングで行われるのでしょうか? 本記事では、SMS認証が抱えるリスクやGoogleの方針、そして今後の代替認証手段について詳しく解説します。 1. GmailのSMS認証が廃止される理由 SMS認証の脆弱性(フィッシング詐欺とトラフィックポンピング) Gmailの広報担当者リッチェンドルファー氏と同僚のサムラ氏によれば、GmailのSMS認証廃止の背景には二つのセキュリティリスクがあるといいます。 一つ目はフィッシング詐欺のリスクです。 SMS認証コードは、偽のログインページを使ったフィッシング攻撃によって盗まれるリスクがあります。ユーザーが正規のGoogleサイトだと思い込み認証コードを入力すると、その情報が攻撃者に渡り、不正アクセスの危険性が高まります。その結果、アカウントが乗っ取られたり、個人情報が流出して被害が発生するケースも少なくありません。 二つ目は、トラフィックポンピングの被害拡大です。 これは詐欺業者がGoogleのSMS認証を悪用し、自分たちの管理する番号に大量の認証コードを送信させることで、手数料を不正に得る手口です。 本来SMS認証の実行時にはGoogleから通信キャリアに支払いが発生します。しかし、一部の通信キャリアは詐欺業者と結託し、Googleから受け取る手数料の一部を詐欺業者に還元することで、不正な利益を生み出しています。 こうした構造により、Googleは不要なコスト負担を強いられ、結果的にSMS認証の維持が企業にとって大きな負担となっています。 Googleが進めるセキュリティ強化の方向性 Googleは、SMS認証の廃止を単なる仕様変更ではなく、全体的なセキュリティ強化の一環と位置付けています。 SMS認証はフィッシング攻撃の標的になりやすく、さらにトラフィックポンピングによる不正なコスト負担を招くリスクもあります。そのため、Googleはより安全な認証方法への移行を進めています。 すでに生体認証や二要素認証の強化が進められており、さらなる対策として利便性と安全性を両立した新たな認証手段の導入が検討されています。 2. 代替案としての認証手段 二要素認証アプリ 二要素認証アプリとは、パスワードに加えてもう一つの認証要素を必要とすることで、セキュリティを強化する仕組みです。その代表例が「Google Authenticator」です。このアプリは、ログイン時にワンタイムパスワード(OTP)を生成し、そのコードを入力することで認証を行います。 SMS認証と異なり、フィッシング攻撃でコードを盗まれるリスクが低く、通信キャリアを経由しないためトラフィックポンピングの影響も受けません。 また、インターネット接続が不要なため、より安全な認証手段として多くのサービスで採用されています。 プッシュ通知型認証 Googleプロンプトは、スマートフォンに直接ログイン通知を送信し、ワンタップで認証を完了できる仕組みです。この方式の最大の特徴は、ユーザーが手入力でコードを入力する必要がない点です。 フィッシング攻撃では、偽のサイトでユーザーに認証コードを入力させる手口が一般的ですが、Googleプロンプトではそのような手法が通用しません。 ユーザー自身がログインリクエストを確認して承認するため、不正アクセスのリスクを大幅に減らすことができます。 パスキー 近年、Googleはパスワードレス認証の普及を進めており、その中心的な技術が「パスキー」です。パスキーは、指紋認証や顔認証、PINコードを利用して、従来のパスワード入力を不要にする認証方式です。 端末に直接認証情報を保存するため、外部からの攻撃によってパスワードが流出するリスクを防ぐことができます。さらに、ユーザーは複雑なパスワードを覚える必要がなく、セキュリティと利便性を両立できる点が大きなメリットです。...
お知らせ一覧
公的個人認証(JPKI)とは?仕組み、最新動向、課題を詳しく解説
近年、フィッシング詐欺やなりすましなど、インターネット上の不正行為が増加し社会問題となっています。そこで注目されているのが、マイナンバーカードに格納されている電子証明書を利用する公的個人認証(JPKI)です。本記事では、JPKIの仕組みや最新動向を解説するとともに、実効性や課題についても掘り下げてご紹介していきます。 1.公的個人認証(JPKI)の最新動向 公的個人認証とは 公的個人認証(JPKI)は、インターネット上で本人認証を安全かつ確実に行うためのシステムです。行政手続きやオンラインサービスでの認証が効率化され、不正アクセスや情報漏洩のリスクを軽減します。紙媒体で行われていた申請や手続きをオンライン化することも可能となり、利便性が向上するだけでなく、手続きの透明性や正確性も高まります。 JPKIでは、マイナンバーカードのICチップに格納された電子証明書を使い、利用者が暗証番号を入力することで本人認証を行います。公開鍵暗号方式が採用され、「公開鍵」と「秘密鍵」というペアが用いられます。 公開鍵はシステム側で使用される一方、秘密鍵はICチップ内に厳重に保管され、外部からアクセスできません。認証時にはこの2つが連携して動作し、不正アクセスやデータの改ざんを防ぐ仕組みが実現されています。 基本的な使い方 公的個人認証(JPKI)を利用するには、初期設定が必要です。まず、市区町村の窓口でマイナンバーカードを発行する際に、カード内のICチップに電子証明書を登録します。この際に、署名用と利用者証明用それぞれの暗証番号を設定します。署名用には6~16桁、利用者証明用には4桁の暗証番号が必要です。 利用環境に応じて、カードを読み取るためのICカードリーダーやNFC対応スマートフォンを準備。一部のスマートフォンでは専用アプリのインストールが求められる場合もあります。 利用時には、対応するウェブサービスやアプリを開き、マイナンバーカードをカードリーダーやスマートフォンにセットします。画面の指示に従い、設定した暗証番号を入力することで、電子証明書が読み取られ、本人認証が完了。 初期設定を終えれば、以降の利用は暗証番号の入力だけでスムーズに進められます。 最新動向について 公的個人認証(JPKI)の利用に必要となるマイナンバーカードは、普及が着実に進んでいます。総務省の発表によると、保有率は人口の70%を超えており、健康保険証としての利用が開始されたことは、マイナンバーカードの普及をさらに後押しする要因となっています。 また、地方自治体や政府による行政手続きのデジタル化が進み、住民票や戸籍謄本のオンライン取得、電子申告(e-Tax)など、JPKIが必要とされるシーンが増加。銀行口座の開設やクレジットカード申し込みなど、民間サービスでの利用も増え、行政以外の場面でもJPKIが身近な存在になりつつあります。 2024年5月には、Appleが2025年春後半から日本でAppleウォレットにマイナンバーカードを追加できる機能を展開すると発表しました。iPhoneユーザーはマイナンバーカードをウォレットに追加し、対面やiOSアプリ上で安全かつ便利に身分証明書を提示できるようになります。 Face IDやTouch IDによる認証と非接触リーダーを活用した仕組みは、物理カードを持ち歩く必要をなくし、利便性を大きく向上させ、JPKIの普及促進にもつながると期待されています。 2.JPKIが抱える課題 マイナンバーカードの普及率やリテラシーの問題 マイナンバーカードの普及率は人口の70%を超えていますが、本人認証の利用において取り残される人々の存在が課題となっています。普及率が90%を超える携帯電話と比較すると、マイナンバーカードが行き渡っていない層が依然として多いのが実態です。 特に、高齢者やデジタル機器に不慣れな層では、カードの申請や暗証番号の設定、電子証明書を活用した認証操作に対する負担感が大きく、複雑で難しいと感じられる場合が少なくありません。また、地方部ではカードの利用機会が限られており、本人認証の必要性や利便性が十分に伝わっていないことが障壁となっています。 これらの課題は、JPKIを活用した本人認証の普及を進める上で大きな課題となっています。 暗証番号が必要 JPKIを利用する際には、マイナンバーカードのICチップに格納された電子証明書を読み取る必要があります。その際、利用者証明用電子証明書を使用するために設定された「4桁の暗証番号」が求められます。問題となるのが、暗証番号が他人に漏えいした場合のリスクです。暗証番号が漏えいすると、第三者がなりすましを行い、本人になり代わってマイナンバーカードを利用できる可能性があります。また、多くの人が暗証番号として誕生日や簡単な数字の組み合わせを設定しがちであるため、推測されやすいケースも少なくありません。このような設定は特にフィッシング詐欺などの手口に対して脆弱性を持ち、JPKIの安全性に影響を及ぼす懸念があります。 電子証明書の有効期限 JPKIを利用する際に必要な電子証明書には、有効期限が設定されています。マイナンバーカードに格納された電子証明書は、署名用電子証明書が5年、利用者証明用電子証明書が発行から5年またはマイナンバーカードの有効期限までという制限があります。有効期限が切れると、本人認証や署名機能が使用できなくなり、再発行手続きが必要です。 有効期限の存在は、セキュリティを維持するための重要な仕組みですが、利用者にとっては更新手続きの手間や期限切れのリスクが課題となっています。期限を忘れてしまった場合、必要なタイミングで電子証明書が使えなくなる可能性があるため、利用者にとって大きな不便を伴うことがあります。 運用基盤の安定性 JPKIを利用した本人認証では、マイナンバーカードの電子証明書を支える公的個人認証サービスの運用基盤の処理能力と信頼性が重要です。この運用基盤は、電子証明書の発行や有効性確認を行う認証局や関連システムで構成されています。...
お知らせ一覧