読めば身に付くネットリテラシー

パスワードは安全じゃない!「パスキー」で不正アクセスを防ごう。Google アカウントでの設定方法を紹介

  • DLIS・柳谷 智宣

2025年8月8日 11:52

「パスキー」を策定した「FIDOアライアンス」はパスワード脱却に向けて活動しています

 多発する不正アクセスの多くは、IDとパスワードが漏えいしたことが原因です。ユーザー自身がフィッシング詐欺に引っ掛かってしまったケースが多いと考えられますが、ウェブサービス側から漏えいすることもあります。また、こうした認証情報を盗み取る攻撃の手口はほかにもあり、現在はパスワードという文字列だけで大事な資産や情報を守るのは難しいのです。

 そして、不正アクセスを原因とするサイバー犯罪は深刻な被害を引き起こしています。警察庁の報告によると、2024年におけるインターネットバンキング不正送金の被害総額は約86億9000万円に達しました。クレジットカード不正利用も2024年の被害額は過去最高の555億円に達しています。さらに2025年は、ネット証券口座への不正アクセスが社会問題となりました。証券会社が顧客に補償する費用が発生しており、SBI証券が約80億円、野村証券は約66億円、楽天証券は10億5800万円と大きな損失を計上しています。

 ずいぶん前から、パスワードによる認証は根本的なリスクがあり、別の方法に切り替えるべきという議論がされてきました。そこで注目されているのが「パスキー」という方法です。

 パスキーは、FIDO(Fast IDentity Online)アライアンスとW3C(World Wide Web Consortium)が共同で策定した「FIDO2」という技術標準に基づいた認証方法で、「公開鍵暗号方式」を採用しているのが特徴です。

 この仕組みは、自分だけが持つ特別な「印鑑:秘密鍵」と、その印影を登録した公的な「印鑑証明書:公開鍵」と考えると分かりやすいでしょう。ウェブサービスに自分が本人であることを証明する際、サービス側から送られてきた文書(「チャレンジ」と呼ばれるランダムなデータ)に自分の印鑑を押し、返送します。ウェブサービス側は、受け取った印影を印鑑証明書と照合することで、それが本物であると確認するのです。

 秘密鍵は利用者のスマートフォンやPCなどのデバイス内に安全に保管され、決して外部に送信されず、デバイス自体の指紋認証や顔認証、PINコードなどのロック機能によって保護されています。一方、公開鍵はウェブサイトやサービス側に登録され、対となる秘密鍵によって作成された署名を検証することしかできず、署名を新たに作成することはできません。

 パスキーは、それが作成された正規のウェブサイトと紐付けられているので、フィッシングサイトは自動的に拒否されます。そのため、現在のフィッシング詐欺が無力化されるのです。また、パスキーでは、ウェブサービス側が保存しているのは公開鍵だけなので、万一漏えいしても、サイバー犯罪者は秘密鍵を持っていないので利用できません。

 プラットフォーマーもパスワードのリスクは認識しており、パスキーや多要素認証の導入を推奨しています。そんな中、Microsoftは、同社の認証アプリ「Microsoft Authenticator」におけるパスワード自動入力(オートフィル)機能を段階的に廃止し、2025年8月には完全に機能を停止すると発表しました。もちろん、パスキーのサポートは続きます。また、SBI証券や楽天証券、マネックス証券などが、2025年秋ごろからパスキー認証を導入する計画を発表しています。

SBI証券は2025年秋ごろに「FIDO2(パスワードレス認証)」の導入を予定しています

Google アカウントにパスキーを設定する方法を紹介

 Googleも、20億人いるというGmailユーザーにパスキーの利用を推奨しています。そこで今回は、実際にGoogle アカウントにパスキーを設定する方法を紹介します。まず、Google アカウントのパスキー作成ページを開き、「パスキーを作成」をクリックします(以下の画像は、PCのウェブブラウザーから操作を開始した場合の画面です)。

Googleのウェブサイトにある「Google アカウントのパスキー作成」ぺージから「パスキーを作成」をクリックします
「別のデバイスを使用」をクリックします
「iPhone、iPadまたはAndroidデバイス」をクリックします
QRコードが表示されるので、スマートフォンのカメラで読み込み、パスキーを作成します

「Google Workspace」を利用している場合は、管理者がパスキーによるログインを許可していなければ、パスキーの設定ができません。管理者がGoogle管理コンソールで、「セキュリティ」→「認証」→「パスワードレス」→「パスワードのスキップ」をクリックし、「ユーザーがパスワードをスキップしてパスキーで認証できるようにする」にチェックを入れ保存することで有効になります。

「Google Workspace」管理コンソールにあるパスキーの設定

 準備が完了したら、Googleのウェブサイトにログインしてみましょう。ログインしようとすると、画面下に「Face IDを使用してサインインしますか?」と通知が出ます。本人認証をすると、作成済みのパスキーを使い、Googleにログインできます。パスワードを使わなくなるので、フィッシング詐欺に引っ掛かることもなくなるでしょう。まずは、パスキーの手軽さを体験してみてはいかがでしょうか。

ログイン時は、Face ID(iPhoneの場合)などデバイス側で認証するとパスキーを使えます
NPO法人DLIS(デジタルリテラシー向上機構)

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと