パスワードの終焉と、パスキーの時代 ― フィッシング詐欺を「数学的」に無力化する次世代認証
「パスワードを1文字も入力していないのに、ログインが終わっている」――そんな体験をしたことはないでしょうか。
指紋や顔をかざすだけでサインインできる「パスキー(Passkey)」が、Google・Apple・Microsoftをはじめ多くのサービスで急速に普及しています。
本記事では、なぜパスワードが限界を迎えたのか、そしてパスキーがフィッシング詐欺を「数学的に」無力化できるのはなぜかを、わかりやすく解説します。
目次
なぜパスワードは限界なのか
パスワードが破られる原因は、利用者の不注意だけではありません。仕組みそのものに「負の連鎖」が組み込まれています。
まず、人間は長く複雑な文字列を何十個も覚えられません(記憶の限界)。
そのため、簡単なパスワードを設定したり、複数のサイトで同じものを使い回したりします(行動の妥協)。
その結果、どこか1つのサーバーから情報が漏れると、使い回した全サービスが芋づる式に危険にさらされます(連鎖的崩壊)。

図1:パスワードが破られる「負の連鎖」
問題の根本は「人間に秘密(パスワード)を管理させ、それをネットワーク越しに送信していること」にあります。どんなに複雑なパスワードを作っても、それを相手に送って照合してもらう仕組みである限り、送る途中や送った先で盗まれるリスクはゼロにできないのです。これは利用者の努力では解決できない、構造上の欠陥だと言えます。
2段階認証でも防げない「中間者攻撃」
「SMSで届く認証コードを併用しているから大丈夫」と思うかもしれません。
しかし近年は、2段階認証すら突破する「中間者攻撃」が横行しています。
手口はこうです。攻撃者は本物そっくりの偽サイトを用意し、メールやSMSでユーザーを誘導します。
ユーザーが偽サイトにIDとパスワードを入力すると、攻撃者はそれを即座に本物のサイトへ転送します。
すると本物のサーバーは正規のログインと判断し、ユーザーのスマホへSMS認証コードを送ります。
ユーザーが「本物から届いた」そのコードを偽サイトに入力すると、攻撃者はリアルタイムで本物のサイトに入力し、乗っ取りが完了してしまいます。
つまり、ワンタイムパスワードは「使い回し」や「事後の漏洩」には有効でも、ユーザーが手で入力する情報である以上、その場でリアルタイムに横取りされることまでは防げないのです。
守りを固めるべきポイントは「入力内容の複雑さ」ではなく、「そもそも人間に秘密を入力させない設計」に移りつつあります。
パスキーとは ― 「秘密の共有」から「所有の証明」へ
パスキーは、この構造的な欠陥を根本から変えます。
発想の転換は「秘密を共有する(Share a Secret)」から「所有を証明する(Prove Ownership)」への移行です。
パスキーを作成すると、スマホの中に「秘密鍵」と「公開鍵」というペアの鍵が自動で生成されます。
これは「公開鍵暗号方式」と呼ばれる、数学に裏打ちされた技術です。たとえるなら、秘密鍵は「開かずの金庫」、公開鍵はその金庫に対応する「鍵穴の設計図」です。
サービス側に渡されるのは設計図(公開鍵)だけで、金庫(秘密鍵)は端末から一歩も外に出ません。
しかも鍵のペアはサービスごとに別々のものがコンピューターによって自動生成されるため、人間が覚える必要も、使い回しが起こる余地もありません。
ログイン時の流れは次のとおりです。
まずサーバーがランダムな文字列(チャレンジ)を送ってきます。
ユーザーが指紋や顔認証を行うと、端末内の秘密鍵が解錠され、その文字列に「署名」した答えだけをサーバーへ返します。
サーバーは手元の公開鍵で署名を検証し、一致すればログイン完了です。

図2:パスキーのログインの仕組み(チャレンジ&レスポンス)
ネットワーク上を流れるのは「1回限りの答え」だけで、パスワードのような「秘密そのもの」は決して送信されません。
万が一サーバーがハッキングされても、盗まれるのは悪用できない「設計図」だけです。
フィッシング詐欺を「数学的」に無効化する仕組み
パスキー最大の強みがフィッシング耐性です。
パスキーは、作成時のサイトのドメイン(サイトの住所)とペアで発行され、ブラウザやOSがログインのたびに自動で照合します。
たとえば本物の「amazon.co.jp」で作ったパスキーは、1文字でも違うとドメインでは一切反応しません。
人間が精巧な偽サイトを見抜けなくても、プログラムは騙されないのです。
「注意して見分ける」という人間の努力に頼るのではなく、仕組みとして偽サイトを自動拒否する――これが「数学的に無力化する」と言われる理由です。

図3:ドメイン照合による偽サイトの自動拒否
よくある2つの誤解
誤解1:「指紋や顔のデータが企業に送られるのでは?」
送られません。
顔や指紋のデータはデバイスから一歩も外に出ず、あくまで端末内の金庫(秘密鍵)を開けるための「スイッチ」として使われるだけです。
サーバーに送信されるのは、秘密鍵で署名された暗号データのみです。
生体認証はプライバシーを差し出す行為ではなく、むしろ秘密を端末に閉じ込めるための儀式なのです。
誤解2:「4桁のPINコードはパスワードより弱いのでは?」
一見そう思えますが、性質がまったく異なります。
パスワードはネットワークに送信されるため世界中のどこからでも攻撃できますが、PINはネットワークに一切流れず、手元の物理的な端末とセットで初めて機能します。
攻撃者は端末そのものを盗んだうえで、回数制限のあるPIN入力を突破しなければならず、遠隔からの総当たり攻撃は成立しません。PINは氷山の一角の「表面のスイッチ」にすぎず、水面下では強固な公開鍵暗号が働いているのです。
スマホをなくしたら?機種変更は?
「スマホの中に鍵があるなら、なくしたら終わりでは?」という心配はもっともですが、対策は用意されています。
秘密鍵はiCloudキーチェーンやGoogleパスワードマネージャーを通じて、暗号化されたまま複数の端末に同期されます。
暗号化された中身はプラットフォーム事業者にも見えません。
端末を紛失しても、クラウド経由で新しい端末に復元でき、機種変更時も自動で引き継がれます。
また、自分のアカウントと同期されていない他人のPCや異なるOSの端末でログインしたい場合も、画面に表示されるQRコードを自分のスマホで読み取り、スマホ側で顔・指紋認証をするだけで済みます。
スマホが「物理的な鍵」の役割を果たすため、共有PCにパスワードを打ち込む必要はもうありません。
比較でわかるパスキーの強さ
ここまでの内容を、従来の認証方式と並べて整理してみましょう。
| パスワードのみ | +2段階認証 | パスキー | |
| 入力の手間 | 毎回入力が必要 | 入力+コード転記 | 生体認証ワンタッチ |
| 秘密の送信 | 送信する | 送信する | 一切送信しない |
| サーバー漏洩への耐性 | 弱い(全サイト変更) | 部分的 | 強い(設計図のみ) |
| フィッシング耐性 | 弱い | 突破されうる | 強い(自動拒否) |
表1:認証方式の比較
従来は「セキュリティを高めるほど、入力の手間が増える」というトレードオフが常識でした。
パスキーはこの常識を覆し、ワンタッチの快適さと最高クラスの安全性を同時に実現している点が画期的です。
移行期の注意点 ― パスワード併用のリスク
ただし、注意点もあります。
現在多くのサービスは、パスキーとパスワードの「併用」を許可しています。
これは、頑丈な金庫室の隣に鍵の壊れかけた木の扉が残っているような状態で、攻撃者は当然、弱いほうの扉を狙います。
パスキーを設定したら、パスワードでのログインは使わない習慣をつけ、サービスが対応していればパスワード認証自体を無効化することをおすすめします。
あわせて、残すパスワードは推測されにくいものに変更し、パスキーへの移行が済んだサービスから順に「パスワードの出番」を減らしていきましょう。
まとめ ― 送らない・覚えない・騙されない
パスキーの本質は3つに集約できます。
秘密をデバイスに封じ込めて「送らない」、生体認証ワンタッチで「覚えない」、ドメイン照合で「騙されない」。
ITリテラシーの高低にかかわらず、そもそも騙されようがない仕組みであることが最大の功績です。
お使いのGoogleやApple、Amazonなど主要なサービスから、今日パスキーを設定してみてはいかがでしょうか。
パスワードの時代を終わらせるのは、私たち一人ひとりの小さな一歩です。

