安全なはずのパスキーが「アカウント乗っ取り」の盲点に?ユーザー調査が明かす復旧の困難さとUIデザインの課題
公開日
セキュリティ
従来のパスワードに代わる、安全で便利な認証手段として「パスキー」の導入が急速に進んでいます。生体認証などを利用して迅速にログインできるため、フィッシング詐欺や資格情報ランダム攻撃(クレデンシャルスタッフィング)に対抗する強力な手段として期待されています。しかし、万が一アカウントが第三者に侵害された場合、登録されたパスキーがどのような脅威となり、ユーザーがどのように対処すべきかについては十分に理解されていません。
本記事では、コーネル大学などの研究チームが発表した論文「“Maybe there’s only one passkey?”: Challenges Investigating and Remediating Adversarial Passkeys」に基づき、パスキーが攻撃の道具として悪用された際のアカウント復旧における重大な課題と、それを阻む現在のシステムデザインの欠陥について解説します。
パスキー登録を悪用する「アドバーサリアル・パスキー」の脅威
パスキーは非常に安全な認証手段ですが、初期設定やログインの際、一時的にアカウントへのアクセス権(パスワードの漏洩や、ロック解除されたデバイスの物理的占有など)を攻撃者に奪われると、攻撃者自身のデバイスを認証器とする「アドバーサリアル・パスキー(敵対的パスキー)」を登録されてしまう危険性があります。
一度この不正なパスキーが登録されると、被害者が後にパスワードを変更したとしても、攻撃者はパスキーを用いてアカウントへ継続的にアクセスし続けることが可能になります。特に、ドメスティックバイオレンス(DV)や親しい関係者間での嫌がらせにおいて、この「ステルスアクセス」は被害者を監視・制御するための強力な道具となり得ます。
検証:31名のユーザーによるシミュレーション調査の概要
研究チームは、パスキーが悪用された場合のユーザーの調査および対処行動を明らかにするため、多様な技術的背景を持つ31名の参加者(一般人、学生、および被害者支援を行う専門相談員)を対象に、1対1で約60分間の実験室型ユーザー調査を実施しました。
調査では、Google(Gmail)、PayPal、LinkedInという代表的な3つのサービスを対象に、攻撃者が不正なパスキーを登録して継続的にログインしている状況を再現したテストアカウントを用意しました。参加者には、これらのアカウントが侵害されているかどうかを調査し、完全に安全な状態へ復旧するタスクが与えられました。
図1:実験におけるシミュレーション手順。被害者と攻撃者のデバイスそれぞれでログインやパスキー登録が行われた。
パスキー悪用の発見とアカウント復旧を妨げる4つの障壁
調査の結果、参加者の多くが不正アクセスの痕跡を発見できず、さらに自力でアカウントを完全に復旧できた参加者は一人もいませんでした。 この深刻な結果をもたらした要因として、以下の4つの障壁が浮かび上がりました。
1. 通知メールの不備とフィッシング詐欺への警戒
アカウントに新しいパスキーが追加された際、サービスから通知メールが送信されますが、参加者の多くはこれらを「フィッシング詐欺の偽メール」ではないかと疑い、メール内のリンクをクリックすることを避けました。
また、LinkedInのように、パスキー登録時にワンタイムコードの認証メールを送信するものの、「パスキーが新たに追加された」という事後通知を行わないサービスもあり、ユーザーが異変を察知する機会自体が失われていました。
2. 管理画面(ASI)での「同名パスキー」の識別困難
管理画面(アカウントセキュリティインターフェース:ASI)にアクセスできたとしても、パスキーの表示方法に問題がありました。
Googleなどの管理画面では、正規のパスキーも不正なパスキーも、同じパスキープロバイダ(例:「iCloud Keychain」)を利用している場合、全く同じラベルで並んで表示されます。このため、参加者は「デバイスが2台あるだけで、パスキー自体は同一のもの(1つだけ)が使われている」と誤解し、不正なパスキーが別個に登録されていることを見落としてしまいました。
図2:各サービスのパスキー管理画面(左からGoogle、PyaPal、LinkedIn)。Googleでは同じ「iCloud Keychain」のラベルで2つの異なるパスキーが表示され、ユーザーの混乱を招いた。
3. 「パスワード変更で解決する」という根深い誤解
多くの参加者は、従来の習慣から「パスワードを変更すれば、すべてのアカウント侵害は解決し、他のデバイスも強制ログアウトされる」と信じ込んでいました。しかし、実際にはパスワードを変更しても登録済みのパスキーは有効なまま残り、攻撃者はパスキーを使ってログインし続けることができます。この認識のズレが、復旧の致命的な抜け穴となりました。
4. 復旧ウィザードがもたらす「不完全な安心感」
Googleの「 セキュリティ診断 」などの支援ツールを実行した参加者は、ツールを完了した時点でアカウントが完全に安全になったと誤解しました。
実際には、これらのウィザード型ツールはパスワード変更やデバイスの不審なセッション削除を促すものの、「パスキーの確認や削除」のステップはプロセスに含まれていません。 その結果、ユーザーに「安全になった」という誤った完了感だけを与え、不正なパスキーを放置させる原因となりました。
| 管理画面・ウィザード名 | パスキーの削除 | セッションの切断 | パスワードの変更 | 復旧情報の変更 | 新しいパスキーの追加 |
|---|---|---|---|---|---|
| Passkeys & security keys (Google) | ● | ◯ | ◯ | ◯ | ● |
| Passkeys (PayPal) | ● | ◯ | ◯ | ◯ | ● |
| Passkeys (LinkedIn) | ● | ◯ | ◯ | ◯ | ● |
| Your devices (Google) | ◯ | ● | ● | ◯ | ◯ |
| Googleウィザード(Pwd, sessions, & recovery) | ◯ | ● | ● | ● | ◯ |
| LinkedInウィザード(Password reset) | ◯ | ◯ | ● | ◯ | ◯ |
図3:各管理画面(ASI)および復旧ウィザードで実行可能なセキュリティ対策。●は実行可能、◯は実行不可能を示す。ウィザード(Wizards)の行を見ると、パスキーの削除に対応していないことが分かる。
また、PayPalやLinkedInでは、管理画面からパスキーを削除する際「お使いのデバイスからも削除してください」という警告メッセージが表示されます。攻撃者の所有するデバイスに直接触れることができない被害者にとって、この案内は実行不可能であり、「完全に復旧できていないのではないか」という強い不安感を与える結果となりました。
アカウントの安全を確実に守るためのUI/UXデザインの改善策
本研究の成果は、単にユーザーの知識不足を責めるものではなく、現在のサービス側のUI/UX設計がパスキーの特性に対応しきれていないことを浮き彫りにしました。この課題を解決するため、サービス提供者は以下の設計改善に取り組む必要があります。
改善策1:具体的で一貫性のあるセキュリティ通知の設計
新しいパスキーが追加された際の通知は、単に「ログイン設定が変更されました」といった曖昧な表現を避け、「新しいパスキーが〇〇のデバイスから追加されました」と具体的な行動を明記すべきです。また、フィッシング詐欺への懸念に配慮し、メール内のリンクを無理にクリックさせるのではなく、公式アプリや公式サイトから安全に設定画面へアクセスする手順(ブレッドクラムナビゲーションなど)を提示することが推奨されます。
改善策2:有機的なナビゲーションと管理画面への分かりやすい誘導
ユーザーがログインした際、不審なパスキーの追加やセッションを検知している場合は、アカウントのトップページに目立つ警告バナーを表示し、設定画面(ASI)への直接かつ安全なアクセス経路を提供するべきです。これにより、メールのリンクを介さずに、信頼できる内部経路からスムーズに対処を開始できます。
改善策3:包括的な「復旧チェックリスト」の提供
パスワード変更、デバイスセッションの終了、パスキーの確認、リカバリー用メールアドレスの確認など、アカウント復旧に必要なすべてのステップを漏れなく網羅した「総合セキュリティチェックリスト」の実装が求められます。ユーザーが「どの対策が完了し、何がまだ未対処なのか」を視覚的に把握できるようにすることで、不完全な状態での復旧終了を防ぐことが可能になります。
まとめ
パスキーは、正しく管理されていれば非常に安全で強力な認証手段です。しかし、一度アカウントのアクセス権が脅かされた場合、登録された「アドバーサリアル・パスキー」の存在に気づき、それを確実に排除するためのユーザーインターフェースはまだ十分に整備されていません。
Webサービスの運営者やUI/UXデザイナーは、パスキーの利便性をアピールするだけでなく、侵害時の復旧プロセスがユーザーにとって真に分かりやすく、完結しやすいものになっているかを今一度見直す必要があります。すべてのユーザーが迷うことなくアカウントを完全に防衛できる、包括的なセキュリティ設計へのシフトが急務となっています。
Webサービスや社内のセキュリティにお困りですか? 弊社のサービス は、開発チームが抱える課題を解決し、生産性と幸福度を向上させるための様々なソリューションを提供しています。ぜひお気軽にご相談ください!
参考資料: