SecurityDays Fall 2022

1. パスワードのいらない世界へ
～マルチデバイス対応FIDO認証資格情報（パスキー）
を中心とした最新動向～
FIDO Alliance | All Rights Reserved | Copyright 2022
2022年10月6日
楽天グループ（株）板倉景子
FIDOアライアンス FIDO Japan WG 副座長
Security Days Fall 2022
1

2. 2 FIDO Alliance | All Rights Reserved | Copyright 2022

3. 2019年 FIDO アライアンス
Japan Leadership Group/副座長
板倉 景子
2005年 Unisys 総合技術研究所 .NET business development
システムエンジニア
2008年 Microsoft Consulting Services
技術コンサルタント
2015年 IBM セキュリティ事業部
Manager
2019年 楽天グループ エコシスエムサービス部
Principal Information Security Specialist
FIDO Alliance | All Rights Reserved | Copyright 2022
3

4. 4
ユーザビリティ
• シンプルなログイン
• 高い顧客転換率
セキュリティ
• 攻撃対策コスト
• お客様の声
HIGH
LOW
HIGH
LOW
FIDO Alliance | All Rights Reserved | Copyright 2022

5. 5
引用：Forty-Two Percent of IT and Security Managers Say Their Organizations Have Been Breached as a Result of User Password Compromise, According to Enterprise
Management Associates Research
https://www.businesswire.com/news/home/20200305005188/en/Forty-Two-Percent-of-IT-and-Security-Managers-Say-Their-Organizations-Have-Been-Breached-as-a-
Result-of-User-Password-Compromise-According-to-Enterprise-Management-Associates-Research
veriff : An update on our security incident
https://www.veriff.com/blog/account-takeover-fraud-statistics
Verizon, “2021 Data Breach Investigations Report”, 13 May 2021. https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/
PermeterX : The Cost of Account Fraud on Financial Services Industry
https://www.perimeterx.com/resources/blog/2021/the-cost-of-account-fraud-on-financial-services-industry/
Security.org ：Account Takeover 2021 Annual Report: Prevalence, Awareness and Prevention
https://www.security.org/digital-safety/account-takeover-annual-report/
Sift: Account takeover data, trends, and insights
https://em.sift.com/NTI2LVBDQy05NzQAAAGHHuAAyTchiqbUbMtSN_uXlxuCfBACWuIEtTdKI1J0jRguYzbUQMvg8zCYO5kfuvcCjsIgXWg=
FIDO Alliance | All Rights Reserved | Copyright 2022
全てのログイン試行の
75－85％がアカウント乗っ取り
の試行 (PerimeterX)
85%
侵害の61％は資格情報に関係
（Verizon）
61%
米国内の成人の 22% がアカウン
ト乗っ取りの被害者であり、
12,000ドルの金銭的損失
（Security.org）
アカウント乗っ取りのコストは
年間11.4億ドル（veriff）
$11.4B
アカウント乗っ取りの報告数が
前年比131％に（Sift）
131%↑ $12,000
ユーザーパスワードの侵害の結果とし
て組織が侵害された(MobileIron)
42%

6. 6
順位. 脅威（個人）
1 フィッシングによる個人情報等の詐取
2 ネット上の誹謗・中傷・デマ
3 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
4 クレジットカード情報の不正利用
5 スマホ決済の不正利用
6 偽警告によるインターネット詐欺
7 不正アプリによるスマートフォン利用者への被害
8 インターネット上のサービスからの個人情報の窃取
9 インターネットバンキングの不正利用
10 インターネット上のサービスへの不正ログイン
FIDO Alliance | All Rights Reserved | Copyright 2022
引用：“情報セキュリティ10大脅威 2022”
https://www.ipa.go.jp/security/vuln/10threats2022.html

7. 7
7

8. 8
https://about.yahoo.co.jp/topics/20220207.html
FIDO Alliance | All Rights Reserved | Copyright 2022

9. お客様からのお問い合わせ(ヤフー/楽天グループ）
FIDO Alliance | All Rights Reserved | Copyright 2022
9

10. FIDO Alliance | All Rights Reserved | Copyright 2022
10

11. 11
ユーザー
３．アカウント登録のため電話番号などを入力
4．被害者の電話番号でパスワードリセットを要求
６．ワンンタイムパスワード入力
５．ワンタイムパスワードを送信
攻撃者
１．偽サイトを作成
2．偽サイトに誘導
7．入力されたワンタイムパスワードで認証成功
偽サイト 正規サイト
FIDO Alliance | All Rights Reserved | Copyright 2022

12. DARKReadling:Top 5 Techniques Attackers Use to Bypass MFA
https://www.darkreading.com/endpoint/top-5-techniques-attackers-use-to-bypass-
mfa
Crypto.com confirms $34 million hack caused by 2FA bypass exploit
https://www.itpro.co.uk/technology/cryptocurrencies/362037/cryptocom-confirms-
34-million-hack-caused-by-2fa-bypass-exploit
二要素認証の突破やSMSへのメッセージ混入--2019年サイバー犯罪総括
（トレンドマイクロ）
https://scan.netsecurity.ne.jp/article/2020/01/10/43512.html
IT media : 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上
https://www.itmedia.co.jp/news/articles/2111/05/news052.html
二段階認証を突破する攻撃
12 FIDO Alliance | All Rights Reserved | Copyright 2022

13. https://transparency.twitter.com/en/reports/account-security.html#2020-jul-dec
https://blog.dropbox.com/topics/product-tips/dropbox-customer-data-safety
https://www.usenix.org/conference/enigma2018/presentation/milka
FIDO Alliance | All Rights Reserved | Copyright 2022
13

14. 14
公開鍵暗号方式を活用したオンライン認証
open standards for
simpler, stronger authentication
using public key cryptography
THE NEW MODEL
Fast IDentity Online
FIDO Alliance | All Rights Reserved | Copyright 2022
引用：Introduction to FIDO Alliance
https://www.slideshare.net/FIDOAlliance/introduction-to-fido-alliance?qid=e6a7d01d-0690-484f-8a18-ebbe7d740be9&v=&b=&from_search=5

15. 15
利用者が「認証器」（Authenticator）に適切な秘密鍵を保有することを確認
（検証）することによって認証を実現しており、認証器の簡単な操作だけで多要素認証
1 2 3 4 5
（ローカルパスコード）
利用者
オンライン認証
検証
FIDOクライアント FIDOサーバー
認証器
署名付き
検証結果
秘密鍵
利用者を検証し
秘密鍵で署名
公開鍵
ID
利用者情報
公開鍵で
署名を検証
本人性の検証を
ローカルで実施
オンラインでは
公開鍵暗号を活用
FIDO Alliance | All Rights Reserved | Copyright 2022

16. 16
FIDO UAF FIDO U2F FIDO2
WebAuthn CTAP
UAF : Universal Authentication Framework（パスワードレス認証）
U2F : Universal Second Factor（二段階認証）
WebAuthn：Web Authentication（ウェブ認証）
CTAP：Client to Authenticator Protocol（デバイス間連携仕様）
FIDO認証モデルに基づくFIDO仕様群
FIDO Alliance | All Rights Reserved | Copyright 2022

17. 17
ID/Password
生体情報など 本人確認の検証結果
ユーザー
ユーザー 認証器
サーバー
サーバー
攻撃者
FIDO Alliance | All Rights Reserved | Copyright 2022

18. 18
生体情報など 本人確認の検証結果
ユーザー 認証器
サーバー
信頼関係
RP（サービス提供者）サ
ーバーの識別子に対して署
名したもの
FIDO Alliance | All Rights Reserved | Copyright 2022

19. ①FIDOサーバーがチャレンジを生成
③ユーザー検証
• 指紋
• PINコード
• 顔認証
④秘密鍵、公開鍵の
ペアを作成し、チャレン
ジに署名
②チャレンジを認証器へ送付
⑤署名されたチャレンジを公
開鍵とともに送信
⑥署名されたチャレンジを検証し、公開
鍵を保存
ユーザー 認証器
19 FIDO Alliance | All Rights Reserved | Copyright 2022

20. * 失敗時のPINを含む
引用：
山口, 他. “クラウドソーシングを用いたWebAuthnベース生体認証のユーザビリティ調査,” CSS ’21. （CSS 2021優秀論文賞受賞）
平均8秒 21秒 27秒
*
認証時間の比較
（FIDO2ベースの生体認証、パスワード、SMS認証）
20 FIDO Alliance | All Rights Reserved | Copyright 2022

21. 21
FIDO認証の導入は運用コスト、セキュリティ・インシデント対応コストの削減にも効果が期待される。
FIDO認証の導入効果
パスワード運用・管理に関わるコストの削減
パスワード認証利用によるセキュリティ・インシデント発生時のリスクの解消
特に従業員のパスワード忘れによるパスワード・リセット対応コストを低減
不正アクセスや情報漏えいなどのセキュリティ・インシデント発生のリスクが高く、 一旦発生すると直接的・
間接的なものを含め、様々な損害等の影響が想定される
１
２
FIDO Alliance | All Rights Reserved | Copyright 2022
コストへの影響

22. 22 FIDO Alliance | All Rights Reserved | Copyright 2022

23. 23 FIDO Alliance | All Rights Reserved | Copyright 2022

24. 24 FIDO Alliance | All Rights Reserved | Copyright 2022
背景：GIGAスクール構想の推進
FIDOアライアンス APAC Market Dev Manager 土屋氏撮影
教育市場でのFIDO導入

25. 25 FIDO Alliance | All Rights Reserved | Copyright 2022

26. デバイスの
紛失
デバイスの
故障
26 FIDO Alliance | All Rights Reserved | Copyright 2022

27. ユーザー
デバイス登録完了
認証エラー
27 FIDO Alliance | All Rights Reserved | Copyright 2022

28. 28 FIDO Alliance | All Rights Reserved | Copyright 2022

29. Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、
パスワードレス認証の普及を促進
2022年5月5日、カリフォルニア州マウンテンビュー – すべての人にとって
ウェブをより安全で使いやすいものにするための共同の取り組みとして、
Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium（以下、W3C）
が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。
この新機能により、ウェブサイトやアプリケーションは、コンシューマーに対してデバイスや
プラットフォームを問わず一貫して、安全かつ容易なパスワードレス認証を提供できるように
なります。
https://fidoalliance.org/charting-an-accelerated-path-forward-for-passwordless-authentication-adoption-jp/?lang=ja
29 FIDO Alliance | All Rights Reserved | Copyright 2022

30. メディア各社による報道
FIDO Alliance | All Rights Reserved | Copyright 2022
30
引用：NHK Web (2022年5月7日アクセス）https://www3.nhk.or.jp/news/
日本経済新聞(2022年5月7日アクセス）https://www.nikkei.com/article/DGXZQOGN053OM0V00C22A5000000/

31. 古いデバイス
新しいデバイ
ス
バックアップ
リカバリ
保有しているデバイス (同一プラットフォー
ムユーザーアカウント）
* 詳細な実装は、プラットフォーム プロバイダーごとに異なる場合があります。
FIDO Alliance | All Rights Reserved | Copyright 2022
31

32. 32
32

33. サービス提供者視点
ユーザー視点
新しいデバイスを購入したときに、(すべてのサ
イトに対して) FIDO 資格情報を登録する必要
がない。
資格情報の有無が事前にわかる／同期されている
再登録処理による顧客離脱の懸念を低減できる。
別手段やFAQでのフォローの手間が軽減できる。
アカウントリカバリーが容易
全ての FIDO デバイスを紛失した場合でも、ア
カウントのロックアウトを心配する必要がない。
複雑なリカバリー手段による顧客離脱の懸念を
低減できる。別手段を用意しなくてよい。
パスワードをオプションとして残す必要性が低減
最終手段としてパスワードを覚えておく必要性
がない。
パスワードに起因するセキュリティの脅威から
解放される。
FIDO Alliance | All Rights Reserved | Copyright 2022
33

34. DPK*
DPKを要求
(作成時)
DPKを要求
(認証時)
* DPK の拡張について (議論中):
https://github.com/w3c/webauthn/pull/1663
DPKs (never leave the
device”デバイスに保存される”)
サービス
FIDO Alliance | All Rights Reserved | Copyright 2022
34

35. 35
各サービス事業者と連携し仕様への質問や提案を実施
https://github.com/w3c/webauthn/issues/1808

36. バックアップの適格性／バックアップ状態
BE
BS
Authenticator Data (authData) layout
各RP(サービス提供者）はバックアップの適格性／バックアップ状態をみてアカウントの状態を知る
ことが可能
* Backup eligibility (WD):
https://github.com/w3c/webauthn/pull/1695
Backup Eligibility 0 バックアップの適格性がない（シングルデバイス対応FIDO認証資格情報）
1 バックアップの適格性がある（マルチデバイス対応FIDO認証資格情報）
Backup State 0 バックアップされていない
1 バックアップされている
FIDO Alliance | All Rights Reserved | Copyright 2022
36

37. * Conditional mediation UI (WIP):
https://github.com/w3c/webauthn/pull/1576
FIDO Alliance | All Rights Reserved | Copyright 2022
37

38. 3. QRコード読み取り
4. BLE アドバー
タイズ
2. BLEスキャン
1. QRコー
ドの表示
5. トンネルの確立
(wss)
* Add “hybrid” as a transport (WIP):
https://github.com/w3c/webauthn/pull/1755
デスクトップPCで
サインイン
→ 認証用QRコードを
スマートフォンで読み取り
→ スマートフォンで本人
確認を行い、認証成功
FIDO Alliance | All Rights Reserved | Copyright 2022
38

39. * 本資料作成時点（2022年9月10日時点）では、Google社は同等機能について発表なし
FIDO Alliance | All Rights Reserved | Copyright 2022
39

40. • https://support.apple.com/en-us/HT213305
•
https://developer.apple.com/videos/play/wwdc2022/10092/
•
https://developer.apple.com/documentation/authenticationservices/public-
private_key_authentication/supporting_passkeys?language=objc
•
https://developers.google.com/identity/fido#what_are_passkeys
• https://w3c.github.io/webauthn/
•
https://github.com/herrjemand/awesome-webauthn
•
https://io.google/2022/program/e3bb37a4-2723-4d72-a5b3-1a23abb94ac0/
FIDO Alliance | All Rights Reserved | Copyright 2022
40

41. FIDO（ファイド）アライアンス
41 FIDO Alliance | All Rights Reserved | Copyright 2022
The Fast IDentity Online Alliance
- FIDO ALLIANCE, INC. (A NONPROFIT MUTUAL BENEFIT CORPORATION) -
2012年に設立されて以来、現在約250社で構成される
米国カリフォルニア州法に基づくグローバルな非営利団体（相互利益法人）
パスワードと認証にまつわる課題解決のため、
• 「FIDO認証モデル」に基づく技術仕様の策定
• 技術仕様を導入展開するためのプログラム運営
• 各標準化団体との協業などを通じたさらなる導入展開を推進

42. 42
コミュニケーションの相互支援
（FIDOアライアンス内で）
• 言語とコミュニケーションスタイル
• 時差
• FIDO認証の理解促進と検討
日本語による情報発信
（FIDOアライアンス外へ）
• ウェブサイト～主なメッセージ
• FIDO認証の導入事例
• 仕様概要や技術用語の対照表
技術・導入SWG
マーケティングSWG 翻訳TF
アカウントリカバリTF
座長・副座長
プログラムマネジャー
2020年6月現在の体制
FIDO Alliance | All Rights Reserved | Copyright 2022

43. 43
+ スポンサーメンバー + アソシエイトメンバー + リエゾンメンバー
+ 政府系機関メンバー
FIDO Alliance | All Rights Reserved | Copyright 2022

44. 44 2022年10月6日現在、57社
AuthenTrend Technology, Inc. 株式会社アクセル Capy株式会社 大日本印刷株式会社 株式会社イードクトル エクスジェン・ネットワークス株式会社 ジェイズ・コミュニケーション株式会社
F i n g e r p r i n t C a r d s A B 株 式 会 社 イ ン タ ー ナ シ ョ ナ ル シ ス テ ム リ サ ー チ 株 式 会 社 ア イ ピ ー キ ュ ー ブ 日 本 情 報 シ ス テ ム 株 式 会 社 株 式 会 社 ヌ ー ラ ボ O S S T e c h 株 式 会 社
株式会社Quado 株式会社セシオス 株式会社ステラクラフト 株式会社TRUSTDOCK WiSECURE Technologies Corporation WinMagic, Inc. xID株式会社
FIDO Alliance | All Rights Reserved | Copyright 2022

45. 45 FIDO Alliance | All Rights Reserved | Copyright 2022

46. 46
https://fidoalliance.org/faqs/?lang=ja
FIDO Alliance | All Rights Reserved | Copyright 2022

47. 47
https://fidoalliance.org/category/intro-fido-jp/?lang=ja
FIDO Alliance | All Rights Reserved | Copyright 2022

48. 日本語によるマルチデバイス対応FIDO資格情報
関連情報発信
3月 ４月 ５月
プレスリリース：“Apple, Google and Microsoft
Commit to Expanded Support for FIDO Standard
to Accelerate Availability of Passwordless Sign-
Ins”
FIDOブログ: Charting an Accelerated Path Forward for
Passwordless Authentication Adoption
ホワイトペーパー: How FIDO Addresses a Full
Range of Use Cases
FIDO Alliance | All Rights Reserved | Copyright 2022
48

49. 49 FIDO Alliance | All Rights Reserved | Copyright 2022
White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts
https://fidoalliance.org/white-paper-multiple-authenticators-for-reducing-account-recovery-needs-for-fido-
enabled-consumer-accounts/
Running FIDO2 Server tests
https://github.com/fido-alliance/conformance-test-tools-resources/tree/master/docs/FIDO2/Server
Multi Device FIDO Credentials
https://fidoalliance.org/multi-device-fido-credentials/?lang=ja#faq

50. 50
https://fidoalliance.org/newsletter-
sign-up/
・毎月発行されるFIDOアライアンスからの最新
のニュースを購読いただけます。
FIDO Alliance | All Rights Reserved | Copyright 2022

51. 51
https://www.youtube.com/channel/UCFEBS
esA5GSi9Vz-ESTopiQ
FIDO Alliance | All Rights Reserved | Copyright 2022

52. 日程：12月9日（金）午後
会場：秋葉原カンファレースホール（対面での実施）
（＊）当日の模様は収録し、追ってFJWG YouTube
チャンネルにてオンデマンド配信を予定
主催：FIDOアライアンス
参加費用：無料（登録開始は10/11（火）予定）
３年振りとなる、対面セミナー開催決定！

53. ご清聴、
ありがとうございました！
Mail to:
info@fidoalliance.org
keiko.Itakura@rakuten.com
53 FIDO Alliance | All Rights Reserved | Copyright 2022