パスキーとは？ スマホで「顔認証」や「指紋認証」でログイン

「パスキー」は、スマートフォンの顔認証や指紋認証を使って、IDやパスワードを入力せずにネットサービスにログインできる次世代の認証技術です。
現在は、以下のような幅広いサービスで導入が始まっています：

• インターネットバンキング
• 証券口座
• クレジットカード会社のサイト
• ネットショッピング
• SNS・メールなどのITサービス

2025年に入ってからは、パスキーに対応するサイトが急速に増加しており、今後ますます利用の機会が広がると予想されています。

使い方は簡単！でも最初に「設定」が必要

これまでのようにIDとパスワードを毎回入力するのではなく、最初に一度「パスキーを使う」と設定しておけば、次回からはIDの入力だけでOK。スマホの画面に顔認証や指紋認証が表示され、それに従って操作するだけでログインできます。

これにより、入力ミスや覚える手間がなくなり、セキュリティも向上するというメリットがあります。

なぜ今パスキーが注目されているのか：急増する不正アクセスの実態

実は、従来のパスワード方式には重大な脆弱性があります。その代表が「フィッシング詐欺」です。

フィッシングとは？

本物そっくりの偽サイトに誘導し、そこにパスワードなどを入力させて情報を盗み取る手口です。
とくに2025年は、証券口座を狙った被害が深刻化し、金融庁によれば、1月から10月の被害額は7100億円超にものぼっています。

「二段階認証」も突破される！？リアルタイムフィッシングの脅威

本来、ID＋パスワードに加えてワンタイムパスワード（OTP）を要求する「二段階認証」は強固な対策とされてきました。

ところが、近年はその二段階認証ですら突破される「リアルタイムフィッシング」という手口が登場しました。

リアルタイムフィッシングとは？

1. 偽サイトにIDとパスワードを入力させる
2. 本物のOTP画面に似せた偽画面で、ワンタイムパスワードを入力させる
3. その情報を犯罪者が即座に自分の端末に入力し、不正アクセス

つまり、認証コードが生きている間に乗っ取られるという非常に高度な攻撃手法です。

パスキーの仕組みをわかりやすく解説

では、パスキーはどうやって安全性を保っているのでしょうか？
ここには、印鑑のような「電子署名」の技術が使われています。

ざっくり言うとこういう流れです：

1. ログインしたい企業（銀行や証券会社など）が「申請書のようなデータ」をスマホに送る
2. ユーザーがスマホで指紋認証や顔認証を行うと、その申請書に電子的な「印鑑」が押される
3. それを企業側に送り返すと、「この人に間違いない」と認証される

このプロセスは、世界的な標準規格（FIDO）に準拠しており、情報が暗号化されているため、第三者が盗み見ることはほぼ不可能です。

スマホを盗まれたら危ない？→安心してください

パスキーは、「スマホが盗まれたら危ないのでは？」と心配になる方もいるかもしれません。

しかし大丈夫。

• スマホ自体が暗号化されている
• 顔認証や指紋認証なしでは操作できない
• パスキーの認証データは、偽サイトでは発行できないようになっている

こうした設計により、他人に悪用されるリスクは非常に低いのです。

とはいえ注意点もある：「パスワード管理」は依然として重要

「パスワードを使わない」仕組みだからといって、完全にパスワードを忘れていいわけではありません。
一部のサービスでは、パスキーとパスワードの両方に対応しているため、パスワードが漏れてしまうと不正アクセスの恐れがあります。

専門家のアドバイス

「パスワードが推測されたり盗まれたりすれば、パスキーの意味がなくなってしまいます。長くて複雑なパスワードを使いましょう」（NTTデータグループ 新井悠さん）

• 20文字以上のランダムなパスワードを設定
• 紙に書いて保管、もしくはパスワード管理アプリを活用
• 他のサービスとパスワードを使い回さない

パスキーを使っていても、基本的なセキュリティ対策を怠らないことが大前提なのです。

まとめ：便利で安全。でも“油断禁物”なパスキー時代

• パスキーは、不正アクセス対策として有効で、スマートにログインできる次世代技術
• しかし、「万能」ではなく、他のセキュリティ対策と併用する姿勢が重要
• 初期設定や導入時の正しい理解、そして「使わない自由」より「学んで使う安心」が求められています

便利さの裏にある「落とし穴」にも目を向けつつ、日々のセキュリティを少しずつ強化していきましょう。

投稿 パスワード不要の新時代「パスキー」とは？仕組みと最新のセキュリティ事情をやさしく解説 は 仕事終わりの小節 に最初に表示されました。

■ 世界を震撼させた1億8300万件の流出

2025年10月21日、セキュリティ研究者たちが確認した驚異的な規模のデータ流出が世界を騒がせました。
Gmailアカウントを含む1億8300万件の電子メールパスワードが、サイバー攻撃によって漏えいしたのです。

この情報は、著名な漏洩データ確認サイト「Have I Been Pwned（HIBP）」のデータベース上に新たに追加され、
2025年に発生した中で最大級の認証情報流出事件と位置づけられています。

■ Google「Gmailのサーバーは侵害されていない」

この報道が拡散すると、SNS上では「Gmailがハッキングされた」との誤解が広がりました。
しかし、Googleは即座に公式声明を発表し、強い口調で次のように反論しています。

「数百万人のユーザーに影響を与えるGmailサーバー侵害という報道は誤りです。
今回の流出は、Gmailのサーバーへの不正アクセスではなく、ユーザーの端末がマルウェアに感染したことが原因です。」

つまり、攻撃者が狙ったのはGoogleのシステムそのものではなく、ユーザーの手元のデバイス。
感染したパソコンやスマートフォンから、ログイン情報が盗み取られたという構図です。

■ 「インフォスティーラー」――静かに忍び寄るデジタル泥棒

今回の事件で使われたのは、「インフォスティーラーマルウェア（Infostealer Malware）」と呼ばれる情報窃取型ウイルスです。

🧠 インフォスティーラーとは？
ユーザーのパソコンやスマホに侵入し、ブラウザの保存データ・クッキー・パスワード・セッショントークンなどを密かに送信するマルウェア。
感染しても動作が遅くならないため、多くの人が感染に気づかないのが特徴。

このマルウェアは、フィッシングメールや偽のアプリダウンロード、悪意のあるブラウザ拡張機能などを通じて広がります。
感染した端末でユーザーがサービスにログインするたび、入力されたIDやパスワードが外部に送信されてしまうのです。

■ 流出データの規模と中身 ― 「3.5テラバイト」「230億件の記録」

サイバーセキュリティ企業Synthientによる調査で、今回のデータ流出は約1年間にわたるマルウェア活動の集大成であることが判明しました。

同社の監視によると、Telegramやダークウェブ上では盗まれたデータが日常的に取引されており、
今回流出したデータには以下の情報が含まれていたことが確認されています：

• メールアドレス
• パスワード（平文またはハッシュ化）
• ログインに使用されたURL
• セッショントークン（自動ログインを可能にする情報）

HIBPの運営者であるTroy Hunt氏は、このデータセットの規模を次のように説明しています。

「3.5テラバイトに及ぶ情報、総計230億件の記録が含まれており、その中にはGmail関連のアカウントも数百万件含まれていた。」

さらに、流出データのうち約1,640万件は過去の漏えい事件には含まれていない“新規流出”であることも確認されました。

■ クレデンシャルスタッフィング攻撃のリスク

流出したパスワードが実際に使える（＝有効な）場合、サイバー攻撃者はそれを使って**「クレデンシャルスタッフィング攻撃」**を仕掛けます。

🔐 クレデンシャルスタッフィングとは？
他サイトで流出したID・パスワードを使って、別のサービスへ自動的にログインを試みる攻撃手法。
同じパスワードを使い回していると、芋づる式に複数のアカウントが乗っ取られるリスクがある。

今回のデータセットに実際のGmailパスワードが含まれていることが確認されたことで、
複数のプラットフォームをまたいだ大規模なログイン攻撃が懸念されています。

■ 91％は既知、しかし“残り9％”が新たな脅威

分析によると、流出した情報の約91％は過去の漏えい事件と重複していました。
しかし、残る9％（約1640万件）はこれまで一度も漏えい履歴のない新規情報です。

これが意味するのは――
「今まで安全だと思っていたアカウントが、今回初めて漏れた」という現実です。

特に企業メールや教育機関ドメインを含むアドレスが検出されており、
研究開発や社内ネットワークへの不正侵入に悪用される可能性も指摘されています。

■ 情報窃取の“新しい潮流”：1日6億件のデータが盗まれる時代

Synthientの主任研究者Benjamin Brundage氏によると、
インフォスティーラーによって盗まれた認証情報は2025年前半だけで前年比800％増に達したといいます。

彼の報告では、マルウェアの活動がピークだった時期、
1日あたり最大6億件のログイン情報が世界中から収集されていたとのこと。
もはや個人の問題にとどまらず、国家規模での情報戦の一環とすら言えるでしょう。

■ Googleが推奨する“現実的な対策”

Googleは今回の事件を受け、次の3つの対策を強く推奨しています。

1. 二段階認証（2FA）の有効化
   • ログイン時に追加の認証コードを入力することで、パスワード流出だけでは不正アクセスされにくくなります。
2. パスキー（Passkey）の導入
   • 指紋認証や顔認証などを使い、パスワードを完全に廃止する仕組み。
   • 2024年以降、Gmailアカウントでも正式対応済み。
3. Have I Been Pwnedで確認
   • 自分のメールアドレスを入力することで、過去に流出したことがあるか即座に確認できます。
   • 該当があれば、即時パスワード変更と多要素認証の設定が必須です。

■ 結論：安全神話の崩壊と“個人防衛”の時代

今回の事件は、どれほど大手企業のシステムが強固でも、
**最終的な弱点は「ユーザーの端末」**にあることを改めて示しました。

クラウドセキュリティが進化しても、個人デバイスの感染が続けば、
攻撃者は「裏口」から容易に侵入できてしまいます。

これからの時代に求められるのは、
企業の防衛力ではなく**“一人ひとりのサイバー衛生（Cyber Hygiene）”**です。

パスワードを守ることは、あなたのデータだけでなく、社会全体の安全を守る行為でもあるのです。

🔗 出典・参考情報

• The Economic Times, Yahoo! News UK, IBTimes UK, evrimagaci.org, Synthient Security Report (2025)
• Google公式Xアカウント声明（2025年10月22日）
• Have I Been Pwned Database, Troy Hunt
• Cybersecurity & Infrastructure Security Agency (CISA) 推奨ガイドライン

投稿 🔓 Gmailのパスワード1億8300万件が流出 は 仕事終わりの小節 に最初に表示されました。