🔑 さらばパスワード！証券会社の認証は「パスキー」でどう変わる？セキュリティ進化の歴史

覚えるのが大変な複雑なパスワード、毎回入力が面倒なワンタイムパスワード（OTP）。これらの煩わしさが、まもなく証券口座のログインから消えるかもしれません。

顧客の資産を守る証券会社の認証システムは、今、セキュリティと利便性を両立させる「パスキー（Passkey）」という次世代技術への移行を進めています。

なぜパスワードは限界を迎えたのか、そしてパスキーが私たちの資産保護をどう進化させるのか。その歴史と仕組みを解説します。

１. 証券会社の認証進化の３ステップ

かつてはIDとパスワードだけでログインできていた証券口座ですが、サイバー攻撃の進化とともに、その防御壁も強化されてきました。

ステップ１：IDとパスワードの時代（知識情報のみ）

• 認証方法： ユーザーが覚えている文字列（パスワード）のみ。
• 課題： パスワードの使い回しや漏洩、フィッシング詐欺により、不正アクセスが頻発。セキュリティレベルが低いと批判されました。

ステップ２：多要素認証（MFA）の導入（知識情報 ＋ 所有情報）

• 認証方法： パスワードに加えて、スマートフォンなどに届くワンタイムパスワード（OTP）などの「異なる要素」を追加。
• 効果： 不正アクセスを大幅に減少させましたが、セキュリティが「必須」の時代に。
• 新たな課題： 毎回OTPを入力する手間があり、利便性が低下。さらに、高度なフィッシング詐欺では、このOTPさえも盗み取られるリスクが生じてきました。

ステップ３：パスキーへの移行（フィッシング耐性のあるMFA）

• 認証方法： パスワードを完全に排除。デバイスに搭載された生体認証（顔・指紋）やPINでログイン。
• 特徴： セキュリティと利便性を両立させる、最新の認証方式です。大手ネット証券各社が続々と導入を進めています。

２. 多要素認証（MFA）を突破する手口とパスキーの防御力

従来のMFAは強力でしたが、攻撃者は「OTPの数字」をリアルタイムで盗み取ることで、その防御を突破しようとしました。

😱 従来のMFAを突破する主な手口

最も一般的なのは「リアルタイム・フィッシング詐欺」です。

1. 偽サイトへ誘導: 攻撃者は本物そっくりの偽ログイン画面にユーザーを誘導し、IDとパスワードを入力させます。
2. 即座に正規サイトで利用: 攻撃者は盗んだIDとパスワードを即座に正規サイトに入力します。
3. OTPの要求: 正規サイトからOTPがユーザーのスマホに送信されます。
4. OTPを詐取: 偽サイト側で「SMSに届いたコードを入力してください」と表示し、ユーザーが入力したOTPをリアルタイムで盗み取り、正規サイトのログインに使用します。

つまり、従来のMFAの弱点は、認証情報が画面上の「文字列（数字）」であるため、それを騙して入力させれば盗み出せる点にありました。

🛡️ パスキーがこの手口を防げる理由

パスキーは、認証の根幹である「秘密鍵」をデバイスの外に一切流出させません。

• パスキーは、その秘密鍵が特定の正規ドメイン名と紐づけられているため、偽サイトで生体認証を試みても、ドメインが一致しないため認証処理自体が失敗します。
• そもそもパスワードやOTPといった文字列を入力する必要がないため、盗み取る「文字列」が存在しません。

これにより、パスキーはフィッシング詐欺に極めて強い認証方式となるのです。

３. パスキーが実現する「究極の多要素認証」

パスキーは、FIDO（Fast IDentity Online）という最新の認証規格に基づいており、従来のMFAが持つ課題を解決し、セキュリティと利便性の両立を実現します。

項目	従来のMFA（パスワード＋OTP）	パスキー（FIDO認証）
パスワード	必要	不要 (パスワードレス)
認証の仕組み	ID/パスワードをインターネットで送信	公開鍵暗号方式を使用
フィッシング耐性	低い（OTPが盗まれるリスクがある）	最高レベル（認証情報が特定サイトに紐づくため）
利用体験	パスワード入力とコード入力の２ステップ	生体認証・PINのみの１ステップで完了

４. 投資家にとっての最大のメリット

証券会社の認証がパスキーになることで、私たちの投資ライフは以下のように劇的に改善されます。

• ✅ セキュリティの大幅な向上 フィッシング詐欺やマルウェアの脅威から解放され、「パスワードが漏れたらどうしよう」という心配は不要になります。
• ✅ ストレスフリーなログイン 複雑なパスワードを覚えたり、毎回OTPを確認・入力したりする煩わしさから解放されます。顔や指紋をかざすだけで、瞬時にログインが完了します。
• ✅ デバイス間での同期 スマートフォンで設定したパスキーは、同じアカウントの他のデバイスにも安全に同期されるため、どのデバイスからでもスムーズに取引が可能です。

５. パスキーの具体的な使い方と仕組み

パスキーを実際に利用するには、まず初期設定（登録）が必要です。多くの証券会社では、現在利用しているIDとパスワードでスマートフォンなどのブラウザからログインした後、セキュリティ設定画面でパスキー登録を行います。この登録時に、デバイスの生体認証などを使って本人確認を行うことで、パスキーの「鍵」が生成されます。

この設定が完了すれば、次回以降はパスワードなしでログインが可能になります。

(1) ログインは「生体認証」で完了

• ログイン時：証券会社のログイン画面でユーザー名を入力（またはスキップ）すると、デバイスに認証を求める通知や画面が表示されます。
• 本人確認：表示された指示に従い、スマートフォンの指紋認証や顔認証を行うだけでログイン完了です。パスワードやOTPを入力する画面は出てきません。

(2) 認証アプリは不要

パスキーは、OTPを生成するために使うGoogle AuthenticatorやMicrosoft Authenticatorのような個別の認証アプリは不要です。パスキーの鍵情報（秘密鍵）は、AppleのiCloudキーチェーンやAndroidのGoogleパスワードマネージャーなど、OS自体が持つ機能によって安全に管理・同期されます。

６. Windows PCとiPhoneを連携させる方法

Windows PC（ブラウザ）で、iPhone（iCloudキーチェーン）に保存されているパスキーを使ってログインする場合、標準的な方法はクロスデバイス認証（QRコード認証）を利用することです。マイナンバーのマイナポータルで使ったことのある方もいるでしょうか。（マイナンバーの場合、秘密鍵はカードの中に書き込まれています。）

QRコードを使ったログイン手順

1. 初期設定を完了: 事前にiPhoneのブラウザで証券会社のサイトにログインし、パスキーを登録しておきます。
2. PCでログイン開始: Windows PCのブラウザで証券会社のサイトのログイン画面を開き、「パスキーでログイン」を選択します。
3. QRコードの表示: パスキーの選択肢が表示されたら、「iPhoneなどスマートフォンに保存されたパスキー」を選択すると、PC画面にQRコードが表示されます。
4. iPhoneで読み取り・承認:
   • iPhoneのカメラでPC画面のQRコードを読み取ります。
   • iPhoneにログインを承認するか確認画面が表示され、Face IDやTouch IDで本人確認を行います。
5. ログイン完了: iPhoneでの認証が成功すると、PCのブラウザで安全にログインが完了します。

💡 まとめ

証券口座の認証の進化は、私たちの大切な資産を守るための最前線での闘いの結果であり、パスキーはその闘いにおいて私たちが手に入れた現時点で、最も強力な武器と言えます。

大手証券会社がパスキーの導入を加速させる今、積極的にこの新技術を活用し、安全で快適な投資環境を手に入れましょう！