「エンジニアトレンドマガジン」は、技術トレンドや現場での実践事例をまとめた、エンジニアのためのお役立ち情報誌です。 Findyで開催したイベントから、編集部にてピックアップしたテーマを取り上げてお届けしています。
【目次】
1.「パスキーで変わる認証設計 ritouさんに聞く 実装における課題とベストプラクティス」
2.「E2Eテスト自動化の事例4選 〜Playwright活用編〜」
3.「AIエージェント開発の裏側〜Algomatic社の実践知から学ぶ〜」
4.「『求められるQAエンジニア』とは ‐ いとうよしきさん、tsuemuraさんに聞くキャリアの歩み方」
.png&w=1920&q=75)
「フィッシングサイトの判断はもはや困難です」 とritou氏は言う。
オンライン認証の歴史を振り返ると、かつてはパスワード一辺倒の時代が長く続いてきた。
しかしユーザー側で「推測されにくいパスワードを設定する」「複数サービスでの使い回しを避ける」といった対策を徹底することは難しく、
サービス側でもパスワードの適切な保存や不正ログイン対策に追われていたのが現実である。
加えて、ritou氏はパスワードリスト/スプレー等の攻撃に対しては、「異なる認証要素を組み合わせた多要素認証の普及は当たり前になりつつある」という。
そして、最近はそれを突破する中継型のフィッシング攻撃が台頭し、「パスワードレス」「フィッシング耐性」というキーワードでさらにパスキーへの注目が集まっているのである。
ritou氏は「もはやユーザーがフィッシングサイトを見極めるのは不可能に近い。サービスが主体的にフィッシング耐性を備える必要がある」と語る。
一度突破されると大きな被害につながる以上、各社における認証設計を見直していくことが重要となるだろう。
