近年、パスワード認証に代わる新たな認証方法としてパスキーが注目されています。パスキー認証は、利便性とセキュリティ対策を両立するリスクの少ない認証方法です。現在、Coincheckでもより安全にサービスをご利用いただくために、パスキー認証を採用しています。
この記事では、パスキー認証の仕組みやメリット、Coincheckでの設定方法などを詳しく解説します。
この記事でわかること
パスキー認証とは
パスキー認証とは、パスワードを使わず、指紋認証や顔認証などの生体要素やPINコードなどのパターンを用いた認証方法です。オンラインサービスへのログインや決済前などに端末上で認証がおこなわれるため、認証情報が第三者に流れたり保存されたりすることなく安全にログインできます。
パスキーはパスワードマネージャーの利用により管理が可能で、同一アカウントでログインしているデバイス間で使用できるため、利便性とセキュリティ対策を兼ね備えているのが特徴です。
パスキーの仕組み
公開鍵と暗号鍵のペアを使った公開鍵暗号方式を採用しており、秘密鍵で暗号化したデータはペアになる公開鍵がないと復号化できません。
サービス利用開始時にユーザーが公開鍵と秘密鍵を設定し、サービス提供者が公開鍵を、ユーザーが秘密鍵を保管するため、公開鍵の情報が漏えいしても影響を受けにくいという利点があります。
生体認証、パスワードとの違い
生体認証とは、指紋や顔、虹彩など、人体の特徴を使って認証する仕組みです。一見パスキー認証と変わらないように見えますが、その違いは生体情報を外部に送るかどうかにあります。
生体認証はサービス提供者側が個人情報である生体情報を保管してアクセス時などに照合しますが、パスキー認証は秘密鍵へのアクセス保護のために生体情報を使用します。そのため、インターネット上に生体情報が流出することはありません。
パスワードは、ユーザーIDと自分で決めたパスワードを入力して認証する仕組みです。覚えておく必要があるので、つい使いまわしたり簡単なものを設定したりする人もおり、強固なセキュリティ対策とは言えません。総務省によると、令和5年に検挙された不正アクセスの手口としてもっとも多かったのは「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」でした。
引用:「令和5年における不正アクセス行為(識別符号窃用型)の手口別検挙件数」
総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」p.6
たいしてパスキー認証は、認証情報を第三者に知られにくいため、情報漏えいのリスクが低い傾向にあり、セキュリティ面で大きな違いがあります。
FIDO UAF認証との違い
パスキーには、FIDOアライアンスが規定したパスワード不要の認証方法の総称と、クラウドを介して認証情報を複数端末で共有する仕組みのふたつの意味が存在します。FIDO UAFは前者のようにパスワードレスな認証が可能ですが、FIDO対応デバイスでしか使えません。その課題を後者の意味のパスキーが解決していると言えます。
パスキー認証のメリット
パスキー認証のメリットは、簡単に言えば利便性とセキュリティ強化の両立です。不正やトラブルに巻き込まれにくく使いやすいため、近年は導入・推奨しているサービスが増えてきています。
パスワードを覚えなくてよい
パスワード認証の場合、サービスごとにアクセスするパスワードを覚えておく必要がありました。さまざまなサービスに登録していれば、すべてを記憶して利用のたびに思い出さなくてはいけません。たとえメモをしたとしても、紛失したり誰かに見られたりするリスクが高まって危険です。
対してパスキー認証は、その場ですぐアクセスできるため、ユーザーの負担がほとんどありません。
ログインの所要時間が減る
パスワード認証だと、ログイン時に複雑な文字列を思い出したり、メモと見比べながらひとつずつ入力したりするのが面倒だと感じる人も多いでしょう。打ち間違いでやり直しになったり、追加でほかの認証方法が必要になったりする場合もあります。
しかし、パスキー承認はデバイスに認証情報を保存しておけるので、使いたいときにすぐログインしてサービスを利用できます。
複数デバイス間で利用できる
パスキー情報はユーザーアカウントにひもづけが可能で、同じアカウントでログインしているデバイス間であればパスキー共有ができます。複数端末で使用していれば、機種変更やデバイスを紛失した際も、認証できなくなる心配がありません。
パスワードに比べて安全性が高い
パスキー認証は公開鍵暗号方式を採用しており、秘密鍵がサーバ上に流れたり保存されたりすることがなく、たとえサーバが攻撃されても漏えいしにくい特徴があります。また、サービスのサイトURLごとに自動生成されるため、他サイトや他サービスでの使いまわしは不可能です。
本物と酷似した偽サイトに情報を入力させるフィッシング詐欺や、他人が利用するIDやパスワードを不正に入手しサイバー攻撃を仕掛けるクレデンシャルスタッフィングなどの攻撃に強い耐性があるので、個人情報やデータを安全に保護できます。
パスキー認証の注意点
セキュリティ、ユーザビリティに優れたパスキー認証ですが、使い方を間違えると情報漏えいのリスクが高まります。ここでは、パスキー認証を安全に使用するための注意点をふたつ紹介します。注意点を押さえて安全にサービスを利用しましょう。
個人専用のデバイスでの使用に限定する
パスキー情報はデバイスに保存されているため、使いたいときにすぐサービスにアクセスできるのがメリットです。
しかし、共有デバイスで設定してしまうと、そのデバイスを使用する他者がパスキーを使ってログインできてしまう可能性があります。身近な人によって悪用されるケースがあるので、個人のスマートフォンやパソコンなどでの使用にとどめて、第三者が使うデバイスでは設定しないようにしましょう。
二段階認証は削除しない
二段階認証とは、一般的にIDとパスワードの認証にくわえて別の認証方法を設定しておくことで、より安全性を高めるシステムです。仮になりすましなどでひとつ目の認証を突破されても、次の段階で認証ができなければ、不正にアクセスされる可能性が低くなります。
なかには、パスキーを設定したら二段階認証はいらないと考える方もいますが、削除してはいけません。たとえばCoincheckでは、日本円の出金や各種設定変更時に必要になる場合があるため、パスキー認証を設定したあとも二段階認証コードを削除しないようにしましょう。
Coincheckでのパスキー認証設定方法
Coincheckでは、アプリやスマートフォンブラウザ、パソコンブラウザからパスキーの設定が可能です。ただし、複数端末でご利用いただく際は、ひとつ目の設定をスマートフォンでおこなっていただくことを推奨しております。この記事では、Coincheckアプリでの設定方法を紹介します。
まずは、設定をおこなう前にCoincheckアプリのバージョンが最新になっているかを確認しましょう。以下のバージョンがパスキーに対応しています。
- iOSアプリ:4.14.0 以降
- Androidアプリ:4.14.0 以降
準備が整ったらアプリを開いて画面下部の「ウォレット」を選択し、右上の人型アイコンをタップします。
次に、画面を下にスクロールして「パスキー認証」を選択してください。
「登録する」ボタンをタップすると、登録のメールアドレスに認証コードが送信されます。メールを確認して認証コードをアプリ画面で入力してください。認証コードの有効期限は発行から5分以内なので注意しましょう。
最後に、画面の案内に沿って生体認証をおこないます。あとは登録したパスキーがパスキー認証画面に追加されたら設定完了です。登録メールアドレス宛にパスキーの登録完了メールが送信されますので、そちらもあわせて確認してください。
詳細は、下記のFAQページをご確認ください。
参考:https://faq.coincheck.com/s/article/setup-passkey?language=ja
Coincheckで利用できるパスキー認証
Coincheckでは、2024年11月13日からパスキー認証を採用しており、2025年7月時点で以下の4つの場面でパスキー認証が利用できます。
- ログイン時
- Coincheckアプリで暗号資産送金画面展開時
- 暗号資産送金先の登録時
- 暗号鍵送金時
参考:https://corporate.coincheck.com/news/pN9MbqKY
ログイン時
ひとつでもパスキーを設定している場合は、Coincheckアプリとブラウザの両方でログイン時のパスキー認証が可能です。メールアドレスとパスワードを入力したのち、パスキー認証画面が表示されますので、そちらに従って進めてください。なお、引き続きログイン時にパスワードを使用しますので、細心の注意を払った管理をお願いします。
Webでは従来通り、メール認証やSMS認証、二段階認証の利用が可能です。
Coincheckアプリで暗号資産送金画面展開時
Coincheckアプリで暗号資産の送金画面を開く際にもパスキー認証が求められます。画面下部の「ウォレット」から「取引アカウント」を選択しましょう。暗号資産の銘柄をタップすると、選んだ通貨の残高画面に進みます。「送金」を押すとパスキー認証を求められますので、画面に従って認証してください。
暗号資産送金先の登録時
2025年6月16日から、Coincheckアプリで暗号資産送金先を登録する場合にもパスキー認証が使用できるようになりました。なお、パスキー未登録の場合は、Webにて個人の方はSMS認証が、法人であれば二段階認証がそれぞれ使用可能です。
暗号資産送金時
こちらも2025年6月16日からパスキー認証が導入されました。Coincheckアプリのバージョンが4.17.0以降の場合にはパスキー認証が必須とされていますので、これからアプリで送金する機会があるという方は登録しておきましょう。
Webであれば、これまで通り二段階認証での利用が可能です。
よくある質問
ここでは、Coincheckにおいてパスキー認証する際によくある質問に回答しています。パスキー認証についてお困りの方は、ぜひお読みください。
また、下記FAQページでもよくある質問の詳細な解説を行っています。
https://faq.coincheck.com/s/article/passkey-faq?language=ja
パスキー認証でどのようにログインしますか?
まずはCoincheckのログインページで、登録しているメールアドレスとパスワードを入力します。「ログイン」を押すとパスキー認証画面が表示されますので、画面の案内に従って認証を実行してください。別のデバイスを用いてパスキー認証をおこなう際は、事前にデバイスのBluetooth機能をオンにする必要があります。
二段階認証とパスキー認証は同時に行いますか?
パスキーを有効にした場合は、メールアドレスとパスワードを入力後にパスキー認証をおこなうため、認証アプリを用いた二段階認証でのログインはできなくなります。ただし、日本円の出金や各種設定変更時に必要となる場合があるので、認証アプリとアプリに登録しているコードは削除しないように注意してください。
クロスデバイスとはなんですか?
クロスデバイスとは、ユーザーが使用している複数のデバイス間で閲覧した情報を引き継げる機能のことです。たとえば、あるデバイスでパスキーを設定し、Googleパスワードマネージャーなどで管理しておけば、そのパスキーは同じGoogleアカウントで使用しているほかのデバイスにも自動的に適用されます。デバイスが変わっても同じパスキーが使えるため、サービスへのアクセスが簡単で便利です。
Coincheckでは、登録されたパスキーがクロスデバイスに対応している場合に、パスキー認証画面で「対応しています」と表示しますのでご確認ください。
まとめ
パスキー認証とは、生体要素やPINコードなどを用いた認証方法です。ほかの認証方法とは異なり、認証情報が外部に流出することなくデバイス上で認証が完結するため、安全性の高い方法として注目を集めています。
なお、Coincheckでは2024年11月からパスキー認証を導入しており、ご利用環境によってログイン時や暗号資産の送金時などに必要となる場合があります。第三者による不正なアクセスや送金操作などのリスクを下げ、安全にお取引いただくためにもぜひご活用ください。