インターネットの世界で、毎日のように入力するパスワード。覚えきれなくてメモに残したり、同じものを複数のサイトで使いまわしている方は少なくないでしょう
ITが「社会インフラ」と化した2025年現在、このパスワードという仕組みそのものの脆弱性が、大きな課題となっています。
実際、サイバーセキュリティ企業であるCybernewsは2025年6月18日にログイン認証情報の収集によって160億件ものログイン認証情報が漏洩したという調査結果を公表。つまり、URL、ログイン情報、パスワードが漏洩したのです。
(参考:Cybernews)
この大規模漏洩により、従来の「固定パスワード」「ワンタイムパスワード」は廃止・禁止すべきであるという考え方すら説得力を持ち始めています。
今回は、パスキーへの移行が進む背景や、従来のパスワード方式の問題点について見ていきましょう。
従来の『固定パスワード』『ワンタイムパスワード』の歴史と問題点
まず、基本をおさらいしましょう。
固定パスワードとは、ユーザーが自分で決めて繰り返し使う文字列(例:password123)のことです。この方式はインターネットの初期から使われてきましたが、さまざまな弱点があります。
まず文字列としてユーザーが簡単なものを選びがちで、ハッカーに推測されやすく、なおかつ「一つのパスワードを複数サイトで使いまわしがち」であることです。データ漏洩事件が起きると、流出したパスワードが他のサイトで悪用されるサイバー攻撃の標的となり得ます。またフィッシング詐欺で偽のサイトに誘導され、パスワードを入力してしまうケースも後を絶ちません。
では「パスワードを定期的に変更すれば問題は解決する」のでしょうか?
実はアメリカの国立標準技術研究所(NIST)は、定期的なパスワード変更を推奨しない方針を打ち出しています。強制的な変更が、かえって推測しやすい弱いパスワードを生む原因になるからです。
さらに、2025年のガイドラインでは、侵害の証拠がない限り変更を強要しないよう更新されています。
とはいえ「パスワードを変更しないことが、パスワードの強固さを高める」とも言い難く、定期的なパスワード変更の非推奨は、やや消極的なガイドラインだと言える側面もあります。こうした問題から、固定パスワードはセキュリティの観点で限界を迎えているという見方は極めて強まっています。
次に、ワンタイムパスワード(OTP)。これは、SMSやアプリで一時的に生成される使い捨てのコードで、二要素認証(2FA)としてよく使われます。固定パスワードの弱点を補うために導入されたが、これにも欠点があります。SMSベースのOTPは、SIMスワップ攻撃(電話番号を乗っ取る詐欺)で盗まれる可能性があります。
さらに、フィッシングサイトでOTPを入力してしまうと、無効化されるリスクがあります。時間ベースのOTP(TOTP)も、生成アプリがハッキングされれば危険です。
つまり、OTPは一時的な解決策に過ぎず、根本的なセキュリティ向上にはつながっていません。たとえば日本証券業協会(日証協)では、2025年7月、ワンタイムパスワードを原則禁止とする証券口座乗っ取り対策の指針を示しています。より強固な認証方式が求められる流れは、ますます強まっています。
パスキーが持つ、従来の認証方式への優位性
ここで登場するのがパスキーです。FIDO Allianceが推進するパスワードレス認証の技術で、2022年頃から本格的に普及し始めています。
パスキーは、公開鍵暗号方式を使ってデバイス上に秘密鍵を保存し、認証する仕組みです。簡単に言うと、指紋や顔認証、PINコードでデバイスをアンロックするだけでログイン可能となります。パスワードを入力する必要がないため、覚える手間がなく、漏洩の心配もありません。
具体的な仕組みとしては、以下の通りです。
【1】初回登録時、デバイス(スマホやPC)が公開鍵と秘密鍵のペアを作成する
【2】公開鍵はサービス側に送られ、秘密鍵はデバイスに安全に保管される
【3】次回のログインでは、サービス側がチャレンジを送り、デバイスが秘密鍵で署名して返す
【4】認証完了
重要なのは、秘密鍵がデバイスから出ないことです。偽サイトに誘導されても秘密鍵を渡すことがないため、フィッシング攻撃を防ぐことができます。
パスキーはAppleのFace IDやMicrosoftのWindows Helloとも連携しやすく、iCloudやGoogleアカウント経由で複数のデバイス間でも同期・共有が可能です。これも大きな利点です。
広がるパスキー移行の流れ
2025年現在、パスキーの採用は急速に進んでいます。FIDO Allianceの調査によると、74%の消費者がパスキーを知っており、69%が使用経験があるとされています。
具体例として、Googleは2023年からパスキーをデフォルトにし、SMS OTPの使用を減らしています。 Apple、Microsoftも自社サービスで積極的に採用を進めています。eコマースではAmazon、eBay、PayPalが対応しています。
こうしたグローバルなITサービスが次々とパスキー移行を進めている背景には、やはりサイバー攻撃の増加があります。いわば2025年は「認証方式の転換点」であり、パスキー採用サービスが早期のうちに「多数派」と化す可能性が高いと見られます。
従来の『固定パスワード』『ワンタイムパスワード』は廃止・禁止すべき?
認証方式として「事実のみ」を見ると、従来の認証方式からパスキーへと移行するメリットは消費者側・サービス側の双方にとって大きいのは間違いありません。パスキーはセキュリティと利便性を両立し、従来方式の弱点を克服するためです。
しかし、即時の『固定パスワード』『ワンタイムパスワード』の禁止は現実的でないのも事実です。
まず、すべてのユーザーが対応デバイスを必ず所有しているとは言えないでしょう。たとえば携帯電話はガラケーで、インターネットはパソコン経由で利用している場合、サービス側がパスキー認証をスマホに一本化すると「ガラケー利用者」は自らのアカウントの認証すらできなくなります。
加えてパスキーはデバイス依存が強く、たとえばスマホを失くせば、バックアップデバイスやリカバリーコードが必要になります。
「スマホを紛失し、なおかつリカバリーコードも手元にない場合、アカウントは凍結されてしまうのか」などユーザーに与える不安も大きく、移行期の混乱が予測されます。
とはいえ従来の認証方式とパスキー認証、両方を備えたサービスが国内でも広がることは確実です。パスキーの普及は、インターネットをより安全で簡単なものに変えていくでしょう。2025年はまさに過渡期であり、固定パスワードやOTPが完全に消えるのはまだ先だと考えられますが、パスキーへの移行は避けられないトレンドです。
※サムネイル画像(Image:Shutterstock.com)
