Apple Passkeysはどのように機能するのか？どのように安全を確保するのですか？

現在、オンラインアクセスを保護する主な方法は、ユーザー名とパスワードです。しかし、たとえ長くて複雑なパスワードを作ったとしても、このセキュリティ設定には1つの重要な弱点が残っています—。

フィッシングサイトやソーシャルエンジニアリングなど、パスワードを危険にさらす攻撃の犠牲者はすでに何百万人もいます。そのため、Appleはパスワードを削除し、パスキーに置き換えることを望んでいます。

では、Apple passkeyはパスワードの問題をどのように解決しているのでしょうか。

Web Authentication (WebAuthn) 標準とは何ですか？

この規格は、World Wide Web Consortium (W3C) によって発行されたもので、長期的なウェブ開発のためのプロトコルとガイドラインを構築することを目的とした組織です。この新しい認証技術を開発することで、データを保護するための主要な、あるいは唯一の方法としてのパスワードへの依存を減らすことを目的としています。

AppleはW3Cのメンバーでもあり、AppleのパスキーにWebAuthnの標準を取り込んでいます。この機能はiCloud Keychainとも連動しているので、すでにこのサービスを利用している人はシステムを移行する必要はありません。

WebAuthn API を実装することで、ウェブ開発者とデバイスメーカーは、異なるシステム間で動作する認証を保証します。つまり、Android、iOS、Mac、Windowsのいずれでも、このパスワードレスシステムは機能するはずです。

Apple Passkeyはどのようにあなたの安全を守るのか？

画像引用元：Apple

私たちの多くは、ユーザー名とパスワードに頼っていた時期があるのではないでしょうか。おそらく今もそうでしょう。しかし、パスワードは簡単にハッキングされます。特に、ユーザーが安全なパスワードを持っていない場合、またはソーシャルエンジニアリングの犠牲者である場合は、パスワードがハッキングされる可能性があります。

また、従来のユーザー名とパスワードの組み合わせは、この情報がオンライン上に保存されることを意味します。そのため、例えばTwitchのような使用しているサービスがハッキングされた場合、その攻撃によってデータなどが危険にさらされます。ユーザー名とパスワードを再利用することは、多くの人が行っていますが、私たちはそれをお勧めしません、あなたの他のアカウントも危険にさらされているのです。

この問題を解決するために開発されたのが、2FA（Two-Factor Authentication）です。セキュリティの層をもう一つ増やすことで、ユーザーは自分のアカウントへの不正なアクセスを防ぐことができるのです。

この技術により、特にブルートフォース攻撃に対するセキュリティは劇的に向上しましたが、多くのユーザーがソーシャル・エンジニアリング攻撃の被害を受けています。また、技術に詳しいユーザーは攻撃を簡単に発見できますが、そうでないユーザーはフィッシング詐欺のような攻撃の兆候を見抜くことができないかもしれません。

Apple passkeysは、この問題を解決するために、パスワードを完全に削除することを目的としています。オンラインサービスにログインする際、ユーザー名とパスワードを入力する必要はもうありません。代わりに、FaceIDやTouchIDなどのデバイスの生体認証セキュリティ機能を使うだけです。

また、このサービスは、Apple社のデバイス内にとどまりません。Windows PCやAndroidタブレットでもpasskeyを利用することができます。WebAuthn APIを実装しているウェブサイトにアクセスしていれば、Apple以外のデバイスでアクセスした場合でも、Appleデバイスの生体認証機能を使ってアカウントにログインすることができます。これは、あなたのAppleデバイスを、あらゆるデジタルドアを開けることができるユニバーサルキーとして使うようなものです。

Apple Passkeys の仕組みは？

Apple passkeys は、ユーザ名とパスワードをオンラインで一緒に保持する代わりに、非対称暗号化を使用します。Apple’s passkeys security support pageによると、以下のようになります。

アカウント登録の際、オペレーティングシステムは、アプリやウェブサイトのアカウントと関連付けるために、一意の暗号鍵のペアを作成します。これらの鍵は、アカウントごとに、デバイスによって安全かつ一意に生成されます。

これらの鍵のうち1つは公開鍵で、サーバーに保存される。この公開鍵は秘密ではありません。もう一つの鍵は秘密鍵で、実際にサインインするために必要なものです。サーバーは、秘密鍵が何であるかを知ることはありません。Touch IDやFace IDが利用可能なAppleデバイスでは、それらを使ってパスキーの使用を許可し、アプリやウェブサイトへのユーザーを認証することができます。共有された秘密は送信されず、サーバーは公開鍵を保護する必要がありません。

ユーザー名とパスワードを使用する場合、サーバーは鍵（ユーザー名）と鍵（パスワード）を持っています。鍵を開けるには、同じような鍵を持っていることをサーバーに見せると、サーバーがドアを開けてくれる。

しかし、Appleのパスキーでは、サーバーが鍵を持つことはありません。その代わり、サーバーはあなたに鍵を渡し、あなたは自分で鍵を開けるのです。そして、サーバーが物理的に鍵を持っている場合（つまり、あなたのデータが実際にサーバーに保存されている場合）にのみ鍵を渡すので、フィッシングハックは鍵を持たないため効果がありません（つまり、Apple passkeysは有効な鍵を渡した場合にのみ鍵を解放するので、鍵を要求することができません）。

このシステムでは、有効なエンティティのみがパスキーを要求できるため、ユーザーがフィッシング詐欺やその他のソーシャルエンジニアリング攻撃の犠牲になる可能性を低くすることができます。また、ユーザーが無数のログイン情報を覚えておく必要がないため、利便性も大幅に向上します。必要なのは、2FAで保護されたApple IDにログインしていることだけです。

パスワードレスシステムのもう一つの例

スマートフォンのOSに効果的に組み込まれたのはAppleが初めてかもしれませんが、パスワードレスシステムを実装したのはAppleが初めてではありません。マイクロソフトのアカウントを持っている人なら、この技術に出会ったことがあるのではないでしょうか。

Microsoftアカウントにパスワードレスログインを設定している場合、Microsoft Authenticatorアプリを使用すれば、ユーザー名とパスワードが不要でログインすることができます{/ab}。主にMicrosoft Edgeブラウザで利用できますが、Google Chromeなど他のブラウザでもWindows Helloやセキュリティキーを使ってMicrosoft AuthenticatorアプリでMicrosoftアカウントにログインすることができます。