リモート フィッシング攻撃が増加しています。 これらの攻撃は、ユーザーのデバイスに物理的にアクセスすることなく、ID 証明 (パスワード、SMS コード、電子メール ワンタイム パスコードなど) を盗んだり中継したりすることを目的とします。 攻撃者は多くの場合、ソーシャル エンジニアリング、資格情報の収集、またはダウングレードの手法を使用して、パスキーやセキュリティ キーなどの強力な保護をバイパスします。 AI 主導の攻撃ツールキットにより、これらの脅威はより高度でスケーラブルになっています。
パスキーは、パスワード、SMS、電子メール コードなどのフィッシング詐欺の方法を置き換えることで、リモート フィッシングを防ぐのに役立ちます。 FIDO (Fast Identity Online) 標準に基づいて構築されたパスキーでは、配信元にバインドされた公開キー暗号化が使用され、資格情報を再生したり、悪意のあるアクターと共有したりできなくなります。 より強力なセキュリティに加えて、パスキー (FIDO2) は、パスワードを排除し、プロンプトを減らし、デバイス間で高速で安全な認証を有効にすることで、摩擦のないサインイン エクスペリエンスを提供します。
Passkeys (FIDO2) を使用して、Microsoft Entra ID または Microsoft Entra ハイブリッド参加済み Windows 11 デバイスにサインインし、クラウドとオンプレミスのリソースにシングル サインオンすることもできます。
パスキーとは
パスキーは、 強力な認証 を提供するフィッシングに強い資格情報であり、デバイスの生体認証または PIN と組み合わせると 多要素認証 (MFA) メソッドとして機能します。 また、検証者の偽装の抵抗も提供されます。これにより、認証子は、パスキーが登録された証明書利用者 (RP) にのみシークレットを解放し、その RP を装う攻撃者は解放されません。 Passkeys (FIDO2) は FIDO2 標準に従い、ブラウザーには WebAuthn を使用し、認証子通信には CTAP を使用します。
次のプロセスは、ユーザーがパスキー (FIDO2) を使用して Microsoft Entra ID にサインインするときに使用されます。
- ユーザーが Microsoft Entra ID へのサインインを開始します。
- ユーザーはパスキーを選択します。
- 同じデバイス (デバイスに格納)
- デバイス間 (QR コード経由) または FIDO2 セキュリティ キー
- Microsoft Entra ID は、認証子にチャレンジ (nonce) を送信します。
- 認証子は、ハッシュ RP ID と資格情報 ID を使用してキー ペアを検索します。
- ユーザーは生体認証または PIN ジェスチャを実行して秘密キーのロックを解除します。
- 認証子は秘密キーを使用してチャレンジに署名し、署名を返します。
- Microsoft Entra ID は、公開キーを使用して署名を検証し、トークンを発行します。
パスキーの種類
-
デバイス バインド パスキー: 秘密キーは作成され、1 つの物理デバイスに格納され、残されることはありません。 例:
- Microsoft Authenticator
- FIDO2 セキュリティ キー
-
同期されたパスキー: 秘密キーはパスキー プロバイダーのクラウドに格納され、同じパスキー プロバイダー アカウントにサインインしているデバイス間で同期されます。 同期されたパスキーは構成証明をサポートしていません。 例:
- Apple iCloud キーチェーン
- Google パスワード マネージャー
同期されたパスキーは、ユーザーが顔、指紋、PIN などのデバイスのネイティブロック解除メカニズムを使用して認証できるシームレスで便利なユーザー エクスペリエンスを提供します。 同期されたパスキーを登録して使用している Microsoft アカウントの何億ものコンシューマー ユーザーからの学習に基づいて、次の点を学習しました。
- 99% のユーザーが同期されたパスキーを正常に登録する
- 同期されたパスキーは、 パスワードと従来の MFA の組み合わせに比べて 14 倍高速です。69 秒ではなく 3 秒
- ユーザーは、従来の認証方法 (95% 対 30%) よりも、同期されたパスキーを使用したサインインの方が 3 倍成功しています
- Microsoft Entra ID で同期されたパスキーを使用すると、すべてのエンタープライズ ユーザーに対して MFA が大規模に簡素化されます。 これは、SMS や認証アプリなどの従来の MFA オプションに代わる便利で低コストの代替手段です。
組織内でパスキーを展開する方法の詳細については、「 同期されたパスキーを有効にする方法」を参照してください。
構成証明 は、登録時にパスキー プロバイダーまたはデバイスの信頼性を検証します。 適用される場合:
- FIDO メタデータ サービス (MDS) を介して、暗号で検証可能なデバイス ID を提供します。 構成証明が適用されると、証明書利用者は認証モデルを検証し、認定デバイスにポリシーの決定を適用できます。
- 同期されたパスキーや、未フォーマットのデバイス バインド パスキーなど、未フォーマットのパスキーは、デバイスの実績を提供しません。
Microsoft Entra ID 内で:
- 構成証明は、 パスキー プロファイル レベルで適用できます。
- 構成証明が有効な場合は、デバイス バインドパスキーのみが許可されます。同期されたパスキーは除外されます。
適切なパスキー オプションを選択する
FIDO2 セキュリティ キーは、高度に規制された業界または特権を持つユーザーに推奨されます。 強力なセキュリティを提供しますが、特にユーザーが物理的なキーを紛失し、アカウントの回復が必要な場合は、機器、トレーニング、ヘルプデスクのサポートのコストを増やすことができます。 Microsoft Authenticator アプリのパスキーは、これらのユーザー グループのもう 1 つのオプションです。
ほとんどのユーザー (厳しく規制された環境外のユーザー、または機密性の高いシステムにアクセスしないユーザー) には、同期されたパスキー によって、従来の MFA に代わる便利で低コストの代替手段が提供されます。 Apple と Google は、クラウドに格納されているパスキーに対する高度な保護を実装しています。
種類 (デバイスバインドまたは同期) に関係なく、パスキーは、フィッシング可能な MFA メソッドよりも重要なセキュリティ アップグレードを表します。
詳細については、「 Microsoft Entra ID でのフィッシングに強い MFA デプロイの概要」を参照してください。