YubiKey:暗号化と多要素認証のためのハードウェアセキュリティキー
指先で軽くタップする小さな金属製のタブが、パスワードでは成し遂げられなかったことを実現しました。それは、世界で最も攻撃を受けている企業の1つで、アカウント乗っ取りを阻止したことです。Googleが8万5000人以上の従業員にYubiKeyを配布した後、フィッシング詐欺で乗っ取られた従業員アカウントの数はゼロになり、2017年初頭からその状態を維持しています。これがハードウェアセキュリティキーのすべてです。これはウイルス対策ソフトではなく、コインを保管するものでもありません。あなたがあなたであることを証明する物理的な物体であり、騙すことはほぼ不可能です。
このガイドでは、YubiKeyとは何か、実際にどのように機能するのか、なぜSMSや認証アプリよりも優れているのか、そして窃盗犯が最初に狙う暗号通貨アカウントを保護するためにYubiKeyをどのように使用するのかを説明します。
YubiKeyとは何か、そしてなぜ重要なのか
YubiKeyは、アカウント用の家の鍵のようなものだと考えてください。ただし、こちらは複製できません。これは、2007年からYubico社が製造している小型のハードウェアセキュリティキーです。バッテリーも画面もありません。USBメモリほどの大きさのプラスチックと金属の薄片で、USBポートに差し込むか、NFCでスマートフォンにかざし、指先で金色のディスクを押すだけでロックされます。
指紋認証こそが鍵です。パスワードは知っている情報であり、知っている情報は盗まれたり、漏洩したり、推測されたりする可能性があり、多くの場合、そのすべてが同時に起こります。一方、YubiKeyは所有しているものであり、他人のポケットから物理的な物体をフィッシングで盗むことはできません。そのため、YubiKeyは二段階認証の第二要素となり、しかも非常に強力な認証手段となります。YubiKeyには、あなたのコインやファイルは一切保存されません。ログイン時には、たった一つの質問に答えるだけで、あとは静かになります。それは、「今、ここにいるのは実際の所有者ですか?」という質問です。タップすればログインできます。タップしなければ、盗まれたパスワードがどれほど完璧に見えても、ログイン画面はそこで停止します。
YubiKeyがフィッシング詐欺を防ぐ仕組み
巧妙な点はハードウェアにあるのではなく、偽のウェブサイトがデバイスから決して引き出すことのできない、ドメイン固有の署名にある。
決して消えない秘密
YubiKeyをサービスに登録すると、公開鍵暗号方式を用いて、公開鍵と秘密鍵からなる新しい鍵ペアが静かに生成されます。秘密鍵はセキュアチップに焼き付けられ、二度と外部に出ることはありません。USB経由でも、デバイスを手に持った状態でも、決して外部に出ることはありません。サーバーに送信されるのは公開鍵のみです。その後は、ログインのたびに、迅速な呼び出しと応答が行われます。サイトがランダムなチャレンジを送信し、鍵は誰も読み取れない秘密鍵でそれに署名し、サーバーは保存しておいた公開鍵と照合してその署名を確認します。これが、古いU2FをベースにしたFIDO2およびWebAuthn規格であり、デバイスから認証情報が盗み出せない理由です。
フィッシングが機能しない理由
さて、ここからがフィッシング対策の肝です。同じやり取りの中で、ブラウザはキーに対してユーザーがアクセスしているドメインも伝えます。YubiKeyはそれを、最初に登録したサイトと比較します。偽のページでドメインが間違っている場合、キーは署名を拒否します。ユーザーは偽サイトに完全に騙される可能性がありますが、ハードウェアは騙されません。そして、重要なのはハードウェアなのです。さらに、人間がそこにいることを証明する物理的なタップを加えることで、セキュリティ機関がフィッシング耐性認証と呼ぶものが実現します。パスワードは偽のボックスに入力できますが、ドメインに紐づいた署名は入力できません。
OTP、スマートカード、パスキー
YubiKeyのフラッグシップモデルは、1つの言語だけでなく、複数の言語に対応しています。アプリに表示される6桁のコードの横に、44文字のYubicoワンタイムパスワードを生成できます。また、認証アプリで使用されているのと同じTOTP規格のタイムベースワンタイムパスワードにも対応しています。企業や政府機関のログインにはスマートカードとして機能します。さらに、パスワード不要の認証のためにパスキーを保存することもできます。この場合、キーはログインそのもので、バックアップではありません。この最後の機能は急速に普及しており、 FIDO Allianceによると、上位100のウェブサイトのほぼ半数がすでにパスキーに対応しているとのことです。
| プロトコル | その機能 | 交換する |
|---|---|---|
| FIDO2 / Web認証 | フィッシング対策済みのログインIDとパスキー | パスワードと脆弱な2段階認証 |
| U2F | 起源に向かう第二因子 | SMSとアプリコード |
| ユビコOTP | 44文字のワンタイムパスワード | ショート認証コード |
| TOTP / OATH | キーに保存された時間ベースのコード | 別の認証アプリ |
| スマートカード(PIV) | 証明書ベースのログイン | 企業バッジによるログイン |
YubiKeyがSMSや認証アプリよりも優れている理由
他の一般的な二段階認証はすべて、リアルタイムで偽サイトに転送される可能性があります。しかし、YubiKeyはそれができません。まさにこの唯一の脆弱性が、暗号資産の盗難につながるのです。
SMSは最も弱いリンクである
テキストメッセージによる認証コードは便利そうに見えますが、最も一般的な認証方法の中では最悪です。認証コードはあなたの電話番号に送信されますが、その電話番号自体が盗まれる可能性があります。SIMスワップ攻撃では、攻撃者が通信事業者を説得してあなたの番号を自分のSIMカードに移行させ、認証コードを直接傍受します。これは決して稀なケースではありません。英国では2024年にSIMスワップ詐欺が1,055%以上も増加しました。CISAとFBIがSMSをフィッシング対策の多要素認証(MFA)として認めないのはそのためです。資金を保有するアカウントでSMSを信頼するのは間違いであり、まさにこの弱点こそが、ハードウェアキーが他の誰よりも暗号資産保有者にとって重要となる理由なのです。
認証アプリにもフィッシングの脆弱性がある
認証アプリはSMSよりはるかに優れており、テキストコードと並んで強力な二要素認証として機能しますが、依然として弱点が一つ残っています。どのMFAも有効にする価値はあります。Microsoft は、MFAが自動化された攻撃の99.9%をブロックすることを発見しました。しかし、人間のフィッシング詐欺師が侵入できるかどうかは、その種類によって決まります。アプリに表示される6桁のコードは単なる数字であり、数字は偽のボックスに入力できます。最新のフィッシングページは、30秒以内にコードを要求し、それを実際のサービスに送信します。YubiKeyは、その署名が実際のドメインに紐付けられており、他のドメインに再現できないため、この脆弱性を塞ぎます。これは理論上の話ではありません。ハードウェアキーが他のすべてのセキュリティ対策に取って代わった日から、Googleの85,000人の従業員がフィッシング詐欺に遭わなくなったのはそのためです。
| 方法 | フィッシング耐性 | SIMスワップ対策済み | オフラインでも動作します |
|---|---|---|---|
| SMSコード | いいえ | いいえ | いいえ |
| 認証アプリ | いいえ | はい | はい |
| YubiKey | はい | はい | はい |
YubiKeyを使用して暗号資産を保護する
仮想通貨に関わるすべての人にとってのメリットは、YubiKeyがSIMスワップやウォレットドレインの標的となるアカウントを確実にロックできる点です。現在、主要な取引所のほとんどがアカウントセキュリティのためにハードウェアセキュリティキーをサポートしており、 Coinbase 、Binance、Gemini、OKX、Bybit、Crypto.com、KuCoinなど、FIDO2またはパスキーによるログインを許可している取引所も複数あります。KrakenとBitfinexは、ハードウェアキーを二段階認証として受け入れています。これを有効にすれば、パスワードと電話番号を知っている泥棒でも、物理的なキーがなければログインできません。
取引所だけに留まってはいけません。最も重要なアカウントはメールです。メールは他のすべてのアカウントの復旧手段となるため、まずメールにキーを設定しましょう。次にパスワードマネージャーにキーを追加し、その後、取引所やそれをサポートするウォレットサービスにも追加します。目標はシンプルです。詐欺師がフィッシングや傍受で入手できるコードのみに依存するログインをすべて排除することです。同じキーで他のオンラインサービスも簡単に保護でき、この技術はフィッシング攻撃を阻止するために特別に開発されたため、ウォレットの資金を吸い上げたり、偽のエアドロップページを仕掛けたりする者が利用するまさにその手順を無効化します。これらのオンラインアカウントすべてにおいて、YubiKeyは誰もリモートでコピーできない唯一の認証情報となり、SIMスワップや資金の吸い上げに悪用される扉を静かに閉ざします。
YubiKeyのモデルと選び方
Yubicoのカタログは見た目ほど選択肢が多くなく、実際はそれほど難しくありません。決め手となるのは、お使いのデバイスに搭載されているポートの種類、スマートフォンにNFCが必要かどうか、そして指紋認証リーダーが必要かどうか、という3つの質問です。
ほとんどの人にとって最適なのは、約58ドルのYubiKey 5 NFCです。上記のすべてのプロトコルに対応し、USB-AとNFCを搭載しています。お使いの機器がすべてUSB-Cの場合は、YubiKey 5C NFCという、形状が異なるだけで同じ機能を持つキーがあります。もっと安く済ませたい場合は、約29ドルのSecurity Keyがおすすめです。余分な機能を省き、FIDO2とU2Fのみに対応していますが、暗号化や日常的なログインには十分です。指紋認証がお好みなら、約98ドルのYubiKey Bioシリーズがおすすめです。PIN不要で使用できる生体認証センサーを搭載しており、規制の厳しい職場向けにはFIPS認証ラインもあります。どれを選ぶにしても、2つ購入することをお勧めします。2つ目はバックアップ用で、1つ目が洗濯機で洗ってしまった時にきっと重宝するでしょう。
YubiKeyの設定と使い方
セットアップはアカウントごとに約10分かかります。誰も教えてくれないのがバックアップです。
キーの登録
公式設定ページから始め、サービスを選択し、その2要素認証またはパスキー設定を開きます。次に、キーを設定する3つの方法のいずれかを選択します。セキュリティキーとして登録するか、パスキーを保存するか、認証アプリのスロットにドロップします。プロンプトが表示されたらタップすれば完了です。ほとんどの人は、各アカウントに2つのYubiKeyといくつかの認証オプションを設定することになるため、デバイスを1つ紛失してもロックアウトされることはありません。同じキーはWindows、macOS、Linux、Android、iOSで機能するため、ノートパソコンとスマートフォンの両方を保護します。まずメール、次にパスワードマネージャー、最後にExchangeの順に設定してください。これら3つで、実際のリスクのほとんどをカバーできます。
落とし穴:バックアップと正直な制限
YubiKeyは魔法のアイテムではありません。そのデメリットを理解しておくことは重要です。登録したキーを紛失するとアカウントがロックされてしまうため、予備のキーを登録するか、リカバリーコードを安全な場所に保管しておきましょう。ハードウェアキーに対応しているサービスはまだすべてではありませんが、対応サービスは年々増えています。初期費用は約58ドルです。また、ハードウェアにはバグがありました。2017年にROCAと呼ばれる不具合、2024年にInfineon社が抱えた問題などです。どちらも物理的なアクセスが必要でしたが、新しいファームウェアで修正されています。これらは些細な問題であり、致命的な欠点ではありません。これらの欠点は、リモートアカウント乗っ取りを完全に阻止するという、ここで最も重要な点に勝るものではありません。
仮想通貨ユーザーにとってYubiKeyは価値があるのか?
仮想通貨を保有している方にとって、答えは間違いなく「イエス」です。YubiKeyは58ドル前後で買い切り、さらにバックアップも必要で、月額料金もかかりません。SIMカードの不正交換やフィッシング詐欺で取引所の口座から資金が流出するリスクと比べれば、YubiKeyの方が圧倒的に有利です。パスワードと認証アプリでセキュリティレベルは上がりますが、YubiKey MFAはリモート攻撃者がアクセスできない領域までセキュリティを強化します。オンラインアカウントに資金を保有している方にとって、YubiKeyはこれまでにないほど安価な保険となるでしょう。
YubiKeyを使えば、指がパスワードになる
プロトコルや型番といった細かいことは抜きにして、YubiKeyが極めて優れている点はただ一つ、ログインの最も強力な部分を、手に取って触れる物理的な物体にすることです。フィッシング詐欺ではパスワードをコピーしてコードを転送することはできますが、ポケットに入っている鍵をコピーしたり、指のタップを偽装したりすることはできません。他のあらゆるものが漏洩する中で、YubiKeyが機能する理由はまさにそこにあるのです。今週中にメールアカウントとメインのExchangeアカウントにYubiKeyを設定し、バックアップも追加しましょう。残る唯一の疑問は、実用的なものです。あなたのお金が保管されているアカウントのうち、見知らぬ人が今日フィッシングで盗み出せるようなコードで、まだ保護しているのはどれですか?
