本文へスキップ

パスキー実装に潜む脆弱性とは?最新調査が明かすWeb認証の現状と課題

公開日

セキュリティ
パスキー実装に潜む脆弱性とは?最新調査が明かすWeb認証の現状と課題
•••

パスワードレス認証の標準規格として注目を集めるパスキー。大手プラットフォームやブラウザでの対応が進み、ユーザーの利便性と安全性を飛躍的に向上させる技術として普及が加速しています。しかし、その安全性を支える仕組みは、各Webサイト側で正しく実装されて初めて機能するものです。

本記事では、ルール大学ボーフムなどの研究チームが発表した論文「The State of Passkeys: Studying the Adoption and Security of Passkeys on the Web」に基づき、実際のWebサイトにおけるパスキーの導入状況と、実装に潜むセキュリティ上の課題について詳しく解説します。

拡大を続けるパスキーの導入状況

本調査は、複数のディレクトリ情報やアーカイブデータを統合し、2021年から2025年にかけてパスキーを導入した872のWebサイトを対象に分析を実施したものです。

大規模スキャンによる調査概要

パスキーの普及度を正確に測るため、研究チームは独自の自動検出ツール「PASSKEYS-RADAR」を開発しました。コミュニティが管理するディレクトリや、インターネット上の膨大なトラフィックデータ(CrUX 18Mなど)から、パスキーの認証エンドポイントを示す特定のファイルを定期的にスキャンしています。この手法により、手動でリストアップされた情報を大幅に上回る数の対応サイトを発見することに成功しました。

急速に増加する対応サイトの推移

調査の結果、パスキーを採用するWebサイトはここ数年で急激に増加していることが明らかになりました。

図表1:パスキー導入推移のグラフ パスキー対応サイトの推移グラフ

図表1が示す通り、2023年後半から2024年初頭にかけて、パスキー対応を表明するサイトの数が急増しています。特に、認証に用いられる特定の規格ファイル(webauthnドキュメントなど)を配置するサイトは、過去半年間で約650%もの成長を見せました。このデータは、多くの企業が従来のパスワードからパスキーへの移行を本格化させていることを示しています。

Webサイトにおけるパスキー実装の実態

パスキーの利用は一見するとシンプルですが、Webサイト側での登録フローや管理インターフェースの実装には大きなばらつきが存在します。

ユーザーの使い勝手と管理機能のギャップ

研究チームが208のWebサイトで実際にアカウントを作成し、パスキーを登録した結果、管理機能の不備が多数見つかりました。例えば、一部のサイトでは一度登録したパスキーを削除するボタンが存在せず、デバイスを紛失した際のリスク管理が困難な状態でした。また、パスキーを1つしか登録できないサイトも25件確認されており、バックアップ用の認証デバイスを追加できないという利便性・安全性の課題が浮き彫りになっています。

利用される認証モードと暗号アルゴリズム

パスキーの認証には、ユーザー名を入力せずにボタン一つでログインできる「Discoverable Mode(ディスカバラブルモード)」など、複数の方式が存在します。

図表2:認証モードおよびアルゴリズムの利用状況

認証モードとアルゴリズムの利用状況

図表2の左側はパスワードレス認証におけるモードの割合を示しており、利便性の高いディスカバラブルモードが多く採用されていることが分かります。一方で右側のグラフを見ると、多くのWebサイトが非推奨とされている古い暗号アルゴリズム(SHA-1を用いるものなど)を引き続き要求している現状が確認できます。これは、互換性を維持するためとはいえ、将来的なセキュリティリスクにつながる懸念事項です。

パスキー認証に存在するセキュリティリスク

WebAuthn標準の仕様は非常に厳格なセキュリティ要件を定めていますが、実際のWebサイトがそれに準拠しているかは別の問題です。

103サイトを対象とした脆弱性評価の概要

本研究では、パスキーの登録および認証プロセスにおける脆弱性を評価する自動化ツール「PASSKEYS-ATTACKER」を用いて、103のWebサイトに対するアクティブなセキュリティテストを実施しました。このテストには、暗号署名の検証漏れや、認証情報の上書きなど、15種類の攻撃シナリオが含まれています。

標準仕様との乖離が生む深刻な脅威

調査結果は厳しいものでした。テスト対象となった103のサイトのうち、WebAuthn標準が定めるすべてのセキュリティ要件を満たしたサイトは1つも存在しませんでした。

図表3:脆弱性の深刻度とサイトのトラフィックランクごとの影響

トラフィックランク別および深刻度別の脆弱性数

図表3の左側のグラフが示すように、18のサイトで他者のアカウント乗っ取りにつながる「クリティカル(Critical)」な脆弱性が、53のサイトでセッションハイジャックなどを許す「ハイ(High)」な脆弱性が発見されました。また、右側のグラフからは、トラフィック量が多い(ランキング上位の)巨大なプラットフォームほど、複雑なシステムゆえに仕様を完全に実装しきれず、脆弱性を抱えやすい傾向があることも分かります。具体的には、電子署名の検証を完全にスキップしてしまうサイトや、攻撃者が被害者の認証キーを上書きできてしまう設計のサイトが実際に稼働していました。

安全なパスワードレス認証の実現に向けて

パスキーは、フィッシング攻撃に対する強力な耐性を持ち、従来のパスワードの弱点を克服する優れた認証手段です。しかし、基盤となるプロトコルがどれほど安全であっても、Webサイト側の実装に不備があれば、その防御力は発揮されません。

開発者は、WebAuthnの仕様書に記載されている検証プロセスを省略することなく、正確に実装する必要があります。また、第三者が提供する認証ライブラリを利用する場合でも、適切な設定が行われているかを継続的にテストする体制が求められます。パスキーの普及が進む今こそ、実装レベルでの厳密なセキュリティ監査と仕様準拠への意識を高めることが重要です。

Webサービスや社内のセキュリティにお困りですか? 弊社のサービス は、開発チームが抱える課題を解決し、生産性と幸福度を向上させるための様々なソリューションを提供しています。ぜひお気軽にご相談ください!

参考資料:

Author: vonxai編集部

Google Scholarで開発生産性やチーム開発に関する論文を読むことが趣味の中の人が、面白かった論文やレポートを記事として紹介しています。