Google、20億ユーザーに警鐘 ―パスワードの時代は終わり。「パスキー」で世界を守れ―

目次

1. パスキーとは何か――パスワードとの決定的違い

2. 160 億件漏えい事件が突きつけた現実

3. Google の“パスキー・バイ・デフォルト”戦略

4. 技術解説：FIDO2／WebAuthn の仕組み

5. 世界の導入状況──Apple・Microsoft・主要サイトの動き

6. ユーザー視点：設定手順とトラブルシューティング

7. 企業・開発者向け：実装と運用のベストプラクティス

8. プライバシーと生体情報の安全性

9. グローバル課題と途上国での展開

10. まとめ：パスワード後の未来図
    
    

1. パスキーとは何か――パスワードとの決定的違い

パスキーは、公開鍵暗号を用いた非対称認証資格情報であり、ユーザー側に秘密鍵、サーバー側に公開鍵を保持する。【秘密鍵は端末外へ流出しない】ため、フィッシングやリプレイ攻撃に強い。

さらに、指紋・顔認証・PIN など OS ネイティブのロック解除手段で署名を行えるため、記憶負担がなく UX が高速。Google によればログイン速度はパスワード比で約40％向上する。blog.google

2. 160 億件漏えい事件が突きつけた現実

2025 年 6 月、Cybernews 調査で 30 件の巨大データセットが露出し、合計 160 億件の ID・パスワードが闇市場に出回ったことが判明。Google・Apple・Meta など複数サービスで使い回されている資格情報が含まれ、専門家は「人類 1 人あたり 2 件の認証情報が流出した計算」と警鐘を鳴らす。cbsnews.comm.economictimes.com

3. Google の“パスキー・バイ・デフォルト”戦略

Google は 2023 年 10 月から個人アカウントでパスキーをデフォルト化し、2025 年 6 月には 2 億人規模 から 20 億人 へと対象を一気に拡大。“Skip password when possible” が標準でオンになるほか、Gmail・YouTube・Maps など各サービスで利用可。

Google は「今後はパスキーが第一認証、パスワードはレガシー」と位置づけた。blog.googlefidoalliance.org

4. 技術解説：FIDO2／WebAuthn の仕組み

• FIDO2: クライアント（CTAP2 対応デバイス）とプラットフォーム（ブラウザ）で公開鍵暗号をやり取り。

• WebAuthn API: JavaScript で呼び出すブラウザ標準。登録時に公開鍵をサーバーへ、認証時にチャレンジ署名を返す。

• 多要素 vs 多段階: パスキーは「所持＋生体」＝ MFA を 1 ステップ化。
  
  
  
  

5. 世界の導入状況──Apple・Microsoft・主要サイトの動き

Apple は iOS 17 以降で iCloud キーチェーンと連携、Microsoft は Windows Hello を FIDO2 認証子として提供。eBay・Uber・WhatsApp も 2025 年までにパスキー対応を完了。各国政府ポータルや金融機関でも実証実験が進む。

6. ユーザー視点：設定手順とトラブルシューティング

1. Google アカウント → セキュリティ → パスキー で生成。

2. Android 14 以降・iOS 17 以降なら自動同期。

3. 旧機種は FIDO セキュリティキー (USB / NFC) をバックアップに。

4. 機種変更時は iCloud または Google Password Manager で安全に転送。

5. エラー時はブラウザの WebAuthn 設定と OS の生体認証登録を確認。
   
   
   
   

7. 企業・開発者向け：実装と運用のベストプラクティス

• WebAuthn Level 3 draft を念頭に resident key を必須化。

• プロビジョニング API を使いユーザーが端末を紛失しても復旧可能に。

• 「パスキーのみ」「パスキー＋OTP」など段階的移行を設計。

• ログ監査に“webauthn-signature-counter”を組み入れ、Reused Key を検出。
  
  
  
  

8. プライバシーと生体情報の安全性

パスキーは 生体データ自体をサーバーへ送信しない。OS がローカルでマッチングし、合否フラグのみを返すため、指紋や顔画像がクラウドに残らない。個人情報保護規制（GDPR・CCPA・改正個人情報保護法）にも適合しやすい設計となっている。

9. グローバル課題と途上国での展開

安価な Android Go デバイスや公共 PC では生体センサーが未搭載のケースも多い。この場合、PIN＋セキュリティキーの併用や SMS OTP のフォールバックが必要。FIDO Alliance は 2025 年中に “Passkey Lite” 仕様を公開予定と報じられている（低性能端末向け軽量実装）。

10. まとめ：パスワード後の未来図

• 短期：主要 Web サービスがパスキーを必須化し、パスワードはバックアップ手段に。

• 中期：ハードウェアセキュリティモジュール (TPM) を備えた端末が標準化。

• 長期：分散 ID（DID）と組み合わせ、“自己主権型”の認証基盤へ発展。
  
  
  Google の警告は、パスワード中心の 30 年にわたる慣習に終止符を打つ合図だ。世界のネットユーザー全員が、いま行動を起こすときである。
  
  

参考記事一覧

• CBS News「16 billion login credentials from Google and other sites leaked online」(2025-06-20) cbsnews.com

• The Economic Times「How to secure your Google account after the 16 billion passwords leaked」(2025-06-20) m.economictimes.com

• Google Official Blog「Passwordless by default: Make the switch to passkeys」(2023-10-10) blog.google

• MSN/FIDO Alliance「Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords」(2025-06-17) fidoalliance.org