ひろみちゅ先生がバッサリ行っているのと、Yahoo!の件で気になっているパスキー。把握できていないので調べてみることにした。
まずひろみちゅ先生。
出鱈目。パスキーにフィッシング耐性があるのは、多要素認証だからではないし、公開鍵認証を使えばフィッシング耐性があるわけでもない※。落第。
— Hiromitsu Takagi (@HiromitsuTakagi) 2026年4月16日
(※TLSクライアント認証を除く) https://t.co/qgm7kEkuCb pic.twitter.com/F6ZDhWziVF
Claude Opus 4.6による解説。もうAIに見てもらいなよ。 pic.twitter.com/wJ1yX7Si2s
— Hiromitsu Takagi (@HiromitsuTakagi) 2026年4月16日
先に置いておく。 pic.twitter.com/Fj74sl07Qx
— Hiromitsu Takagi (@HiromitsuTakagi) 2026年4月16日
突っ込まれた金融庁のやつ。
Yahoo!のログイン方法変更の記事。
また移行措置として、SMS認証を使用したパスワードレスログインや、パスワードとワンタイムパスワードを組み合わせたログインは、当面は維持する。今後のユーザーの移行状況をみながら段階的にパスキーに一本化していく。
LINEヤフーは「パスキーはスマートフォンやPCで行われる生体認証などを活用した安全で便利なログインを実現するログイン方法。ユーザーは一度パスキーを登録すれば、端末の生体認証などによって安全かつスムーズにYahoo! JAPAN IDへログインできるようになる」としている。
なお、オレが唯一持ってたYahoo!のアカウント、ログインできないから(1年くらい前にちょっと用があってログインしようとした)乗っ取られたかあまりに使っていないから停止されたか。まあ、数年見なくても困らない用事にしか使っていなかったわけだが。
で、わかっていなくてあれこれパスキー生成しますかとか来ても全部パスしてた。良さげな説明見つけた。
指紋認証や顔認証に代表される生体情報やスマートフォンなどのデバイス自体を鍵として認証に使用するのがパスキーです。FIDO(ファイド)アライアンス※2が策定したこの技術は、Web技術の標準化団体であるW3C(World Wide Web Consortium)も協力して開発しました。パスキーを活用することで、ユーザーは煩わしいパスワードの入力をすることなく、より安全かつスムーズにオンラインサービスを使うことができます。また、企業側もパスワード関連のセキュリティインシデントの発生リスクを低減できるというメリットがあります。
パスキーは、FIDO2※3の一部として導入された技術です。FIDO2の主要な認証規格であるWebAuthn※4やCTAP※5をもとにしており、シームレスかつ安全なログインを実現します。具体的には、公開鍵暗号方式を使用してユーザーの認証情報を保護する仕組みです。その一連の流れを鍵と鍵穴に例えて解説します。
※3 FIDO2:2018年に公開されたFIDOの最新バージョン。
※4 WebAuthn:パスワードに依存しない認証を実現するための「FIDO2」という認証技術を構成する技術の一つ。
※5 CTAP:Client to Authenticator Protocolの略。WebAuthnと連携して動作し、ユーザーのデバイスと認証機器の間の通信を管理する。
- 鍵ペアを生成
サービス登録時、ユーザーは公開鍵と秘密鍵のペアを生成します。公開鍵はサービス側に保存されます。
公開鍵:サービスに初回登録する際に公開され、サービス側に保管される鍵で、“鍵穴”のような役割を果たします。
秘密鍵:デバイス内に安全に保管されるユーザー本人専用の鍵で、“鍵本体”のような役割を果たします。- ログイン認証プロセス
・ログインするときに、サービス側がユーザーに認証を要求します
・デバイス側で秘密鍵を用いて「デジタル署名」を生成します
・この「デジタル署名」をサービス側に送信し、サービス側で保管されている公開鍵を用いて検証します
・検証が成功すると、本人であることが認証されてログインが許可されます
デバイスが文字通り鍵になるのか。今度なにかで「パスキー生成しますか」って来たらやってみるか。
