パスワード不要--ヤフー、一部のAndroidスマホで指紋認証ログインを可能に

　ヤフーは10月23日、生体認証デバイスを利用して安全にログインできる「FIDO2」に対応し、一部のAndroidスマートフォンのウェブブラウザ上で、ヤフーのサービスに指紋認証など生体認証でログインできるようになったと発表した。

（左から）ヤフーサービス統括本部 IDソリューション本部長／FIDO Japan Working Group共同副座長の菅原進也氏、ヤフーサービス統括本部 IDソリューション ユニットマネージャの伊藤雄哉氏

1日1.5万人がパスワードを再発行

　現在、ウェブサービスにログインするには、IDとパスワードを使うのが一般的だが、さまざまなウェブサービスが出現する中で、サービスごとにID／パスワードを管理する必要がある。ヤフーでは、1日1.5万件のパスワード再設定依頼があり、パスワードの管理に課題を感じているユーザーが多いと指摘している。また、IDやパスワードを使い回すことで、他サービスで漏えいしたID／パスワードを利用してさまざまなサービスにログインを試みる、パスワードリスト攻撃に遭遇する可能性が高くなる。ログインからパスワードをなくすことで、セキュリティを高められると同社では説明する。

　ヤフーでは、2017年4月にパスワードレス登録を開始し、既存ユーザーでもパスワードを無効化できる機能を2018年5月に提供している。すでに450万ユーザーがパスワードレスログインを設定しているという。パスワード入力の代わりに提供しているのが、登録した電話番号やメールアドレスに確認コードを送信し、記載された番号を入力することでログインする方法だ。生体認証などを使った新しいオンライン認証の標準化を進める「FIDO Alliance」に準拠している。

　今回、FIDO認証をウェブブラウザ上で利用できる「FIDO2」の認定を取得したことで、指紋認証といった生体認証をウェブブラウザからのログインに実装。メッセージ受信までのタイムラグやコード入力といった手間なしで利用できるため、利便性が高まるとしている。アカウントの設定画面から生体認証の使用を登録でき、次回以降、指をかざせばログインが完了する。また、もし端末を紛失してしまった場合でも、メールアドレスで確認コードを受信する方法でログインすることも可能だ。

FIDO認証をウェブブラウザで使えるようにした「FIDO2」

指紋認証でログインした様子。一度設定すれば、次回以降は指をかざすだけだ

サーバ側に生体情報を置かないことでセキュリティを高める

　FIDOは、公開鍵暗号方式を採用。デバイスとサーバ側で共通の秘密鍵を持っておらず、デバイス内で署名したあと、サーバの公開鍵で認証する。生体認証も同じく、生体情報をヤフーのサーバ側に置かず、デバイス内に記録されている生体情報をもとに照合し、署名の結果がサーバに送信される仕組みだ。元々デバイスが持つ指紋認証や顔認証などの機能とユーザーの登録情報を活用し、認証した結果をサービス側がログインに利用すると考えると分かりやすいかもしれない。さらに、事前に登録したデバイスからのみ生体認証が利用できるため、第三者がもしユーザーの生体情報を入手したとしても、登録したデバイス以外からはログインできないという。

FIDO認証の仕組み

生体認証データはサーバ側で保管しない

　対応端末は、FIDOに対応したAndroid 7.0以上かつChrome 70以上、指紋認証をサポートしたスマートフォンとなる。ヤフーでは、サムスンのGalaxyシリーズなどを挙げている。ただし、PCブラウザやアプリからのログインには現時点では対応せず、今後実装を進める。基本的に生体認証はデバイスメーカーの対応状況に依存するため、顔認証などはデバイス側の対応次第としている。

　FIDO Allianceは、Amazon、Arm、Google、Facebook、Intel、Microsoft、Visa、Qualcommなどグローバル企業が名を連ねるオンライン認証のアライアンスで、日本からはヤフー以外にもNTTドコモやソフトバンク、KDDIのほか、LINE、楽天、三菱UFJ銀行などが参画している。ただし、AppleはFIDOには参画しておらず、iPhoneのSafariから、ヤフーサービスへの生体ログインは今のところ実現は難しいという。

FIDO Allianceについて