パスキーについていろいろ調べていて、最初に「これは良いな」と思った点があります。 それは “盗まれたら盗まれたと分かる” ということです。
パスワードは盗まれても気づけません。 データベース漏洩、フィッシング、キーロガー……どれも静かに侵害されます。
一方パスキーは、秘密鍵がスマホやPCの中にあるため、 デバイスを盗まれたら即気づく。 これはセキュリティとして非常に大きなメリットです。
しかし、調べていくうちに もっと深刻な問題 に気づいてしまいました。
広告(PR)|自分の投資スタイルを見つける。※タップで開閉
DMM FXは、「最初の一歩を踏み出す場」として選ばれることがある
口座を開いてみた。取引してみた。思ったよりも難しかった。──そんな経験が、投資との距離感を知るきっかけになることもあります。
サービスを通じて、自分の投資スタイルを見つける。それは、確信ではなくても構いません。「試してみた」という実感が、次の選択の材料になることもあるからです。
DMM FXに関する詳細は、以下の広告(PR)リンクをご覧いただけます。
※FXは元本保証のない金融商品です。相場変動により損失が生じる可能性がありますので、ご理解のうえでご覧ください。
👇こちらは広告(PR)リンクバナーです
※本リンクは広告収益が発生する可能性のある広告(PR)リンクです
パスキーの“再登録”という盲点
パスキーは「秘密鍵がデバイスに保存される」仕組みです。 そのため、次のような場面では 再登録 が必要になります。
- PCを買い替えた
- スマホを紛失した
- デバイスが故障した
- OSを初期化した
このとき、当然ですが 古いデバイスのパスキーは使えません。 ではどうするか?
パスワードでログインして、パスキーを再登録する。
ここが問題の核心です。
パスキーは安全でも、再登録は“パスワードの世界”に戻る
パスキーは「秘密鍵が盗まれない」ことを売りにしています。 しかし、再登録の瞬間だけは パスワード認証に戻る のです。
つまり、
- パスキーは安全
- でも再登録はパスワード頼み
- パスワードが盗まれていたら、攻撃者が再登録できる
という構造になっています。
これ、実は パスワードと同じ弱点 を持っているということです。
攻撃者が再登録したらどうなるか?
攻撃者があなたのパスワードをフィッシングなどで盗んでいた場合、 次のような流れが成立します。
- 攻撃者がパスワードでログイン
- 「新しいデバイスでパスキーを登録」
- 攻撃者のデバイスにパスキーが作られる
- あなたのアカウントは“完全に乗っ取られる”
ここで重要なのは、
サービス側は「正当な再登録」と「攻撃者の再登録」を区別できない
という点です。
なぜなら、どちらも「パスワードでログインして再登録する」という手順は同じだからです。
パスキーは“秘密鍵の安全性”だけを強化した仕組み
パスキーの説明はこうです。
- 秘密鍵はデバイスから出ない
- フィッシングされない
- サーバーに秘密情報を置かない
これは確かに強い。
しかし、アカウント乗っ取りは 秘密鍵の盗難だけで起きるわけではありません。
- メール乗っ取り
- SMS乗っ取り
- クラウドアカウント乗っ取り
- パスワード漏洩
- リカバリー手段の悪用
これらのどれかを突破されれば、 攻撃者は“正当なユーザーと同じ手順”で再登録できてしまう。
つまり、
パスキーはアカウント全体を守る仕組みではない。 守れるのは“秘密鍵の盗難”だけ。
ということです。
「盗まれたら気づける」という最大のメリットが薄れる
私は最初、パスキーの最大のメリットは
盗まれたら盗まれたと分かること
だと思っていました。
しかし、再登録という仕組みがある以上、
- デバイスを盗まれなくても
- パスワードだけ盗まれていれば
攻撃者はあなたのアカウントにパスキーを再登録できる。
つまり、
“盗まれたら気づける”というメリットが、再登録の存在によって薄れてしまう。
これが今回気づいた最大の問題点です。
結論:パスキーは万能ではない。弱点は“再登録”にある
パスキーは確かに強力です。 しかし、次の点はもっと広く知られるべきです。
- パスキーは秘密鍵の盗難には強い
- しかしアカウント乗っ取りには別の弱点が残る
- 再登録はパスワード頼み
- パスワードが盗まれていれば攻撃者も再登録できる
- つまりパスキーは“部分的に安全”なだけで、万能ではない
この弱点はほとんど語られません。 しかし、アカウント乗っ取り(背乗り)の観点では非常に重要です。
人気ブログランキング ブログパーツ