パスキー+デバイスインテリジェンス:多層のアカウント乗っ取り防御
パスキーは認証情報の窃取という攻撃面を塞ぎますが、アカウント回復、登録、セッションハイジャックは無防備なまま残します。デバイスインテリジェンスは、パスキーが構造的に届かない隙を覆い、多層のATO防御を形づくります。
パスキーは、この10年で消費者向け認証にもたらされた最も重要な改善であり、それを取り巻く業界の語り口はわずかに誤解を招くものです。その語り口とは、パスキーがアカウント乗っ取りを「解決する」というものです。パスキーはそれを解決しません——最大かつ最も自動化しやすい1つのクラスを排除するだけであり、そうすることで攻撃者を、パスキーが構造的に守れないアカウントライフサイクルの部分へと押しやります。
本稿は、パスキーが何を覆い、何を無防備なまま残し、どこにデバイスインテリジェンス層が収まるのかを冷静に見渡したい、パスキーを展開するセキュリティアーキテクトとプロダクトセキュリティチームのためのものです。主張はこうです。パスキーとデバイスインテリジェンスは補完関係にあります。パスキーは認証を固め、デバイスインテリジェンスはその周囲のすべてを守ります。
パスキーが実際に修正するもの
パスキーは、共有秘密を完全に取り除くことで認証情報の窃取を修正します。フィッシングすべきパスワードもなく、サイト間で使い回すパスワードもなく、詰め込みを待って漏洩ダンプに眠るパスワードもありません。それは、最大のアカウント乗っ取りの攻撃面を一手で塞ぎます。
仕組みとしては、パスキーはWebAuthnとFIDO2の標準を用いてサイトごとに作成される公開鍵・秘密鍵のペアです。秘密鍵はユーザーのデバイス(または同期された認証情報プロバイダー)を決して離れません。サイトは公開鍵だけを保存します。認証は暗号的なチャレンジ・レスポンスです。サイトがチャレンジを送り、デバイスが秘密鍵でそれに署名し、サイトが公開鍵で検証します。再利用可能なものは何も回線を越えません。
そこから2つの性質が導かれ、それらがATOにとって重要なものです。
フィッシング耐性。 パスキーはサイトのオリジンに暗号的に紐づけられています。そっくりのフィッシングドメインにたどり着いたユーザーは、そこでパスキーを提示できません——オリジンが一致しないため、ブラウザがそれを提供しないからです。これは、ワンタイムコードのMFAを無力化するリアルタイムフィッシングプロキシのカテゴリ全体(Evilginx型の攻撃)を打ち破ります。認証情報は、単に誤った宛先へ中継できないのです。
大量に盗める共有秘密がない。 流出させるべきハッシュ化パスワードのデータベースも、買うべき認証情報リストも、クレデンシャルスタッフィングの材料もありません。自動化されたパスワード攻撃の経済性は、盗まれた認証情報が安価で再利用可能であることに依存します。パスキーはそれらを存在しないものにします。
パスキーが実際に管理するフロー——すでにパスキーを保持しているデバイスでサインインするユーザー——にとって、これはほぼ隙のないものです。もしあなたのユーザー基盤全体が、すでに所有するデバイス上でパスキーだけを使って認証するなら、古典的なATOの手口は死んでいるでしょう。
それは、いかなる実在のサービスも運用していない世界です。
パスキーが覆わない攻撃面
パスキーは認証イベントを守ります。アカウント乗っ取りは認証イベントに限られません——それはアカウントライフサイクル全体を狙い、そのライフサイクルの大部分はパスキーが管理する範囲の外にあります。4つの隙が重要です。
アカウント回復。 これが最大のものです。あらゆるサービスは、デバイスを失ったユーザーが戻れる手段を必要とします。その回復経路——メールリンク、SMSコード、秘密の質問、バックアップコード、ヘルプデスクの本人確認——は、定義上、パスキーなしに認証する手段です。パスキーを破れない攻撃者は、代わりに回復フローを攻撃します。そして回復フローは、それが迂回する主要な認証よりもはるかに弱いのが通例です。「SMSコードでリセット」というフォールバックを持つパスキー展開は、玄関がどれほど強固でも、フィッシング可能でSIMスワップ可能な裏口を抱えています。
デバイス登録。 アカウントに新しいパスキーを追加することはアカウント変更のアクションであり、攻撃者が自分のデバイスのパスキーを登録できれば、彼らは正当な永続的アクセスを手に入れます。登録は通常、既存の認証済みセッションによって守られます——つまり、そのセッションを確立したもの(上記の回復フローを含む)の弱点を継承します。新しいパスキーの登録は、現代版の「転送ルールを追加する」に相当します。静かで、永続的で、見逃しやすいのです。
セッションハイジャック。 パスキーは認証しますが、継続的に再認証はしません。ユーザーがいったんサインインすると、その結果のセッショントークンは、他のあらゆるものと同じ持参人型の認証情報です。それを盗めば——マルウェア、悪意ある拡張機能、侵害されたデバイス、トークン流出攻撃を通じて——パスキーに一切触れることなく認証済みセッションを手に入れます。ログインの強度は、その後の1時間のセキュリティについて何も語りません。
未登録のロングテール。 パスキーの普及は現実ですが部分的です。あらゆる消費者ユーザー基盤の相当な割合がパスキーを持ちません。古いデバイス、共有または法人のマシン、プロンプトを閉じたユーザー、それを理解していないユーザーです。そうしたアカウントの1つ1つには、依然としてパスワードベースまたはコードベースの経路があり、攻撃者はまさにその経路に集中します。サービスは、利用可能な最も弱い認証方式の分だけしか守られておらず、未登録のテールにとって、その方式は古いものです。
4つすべてに共通するパターンはこうです。強力な認証はアカウントを乗っ取る動機を取り除かず、攻撃を移動させます。これは2026年のATO情勢の一貫した教訓です——各ベクトルが固まるにつれ、攻撃者は次に弱いものへと流れます。パスキーは、戦いをログインフォームから回復フロー、登録ステップ、ログイン後のセッションへと移します。
デバイスインテリジェンスがなぜ隙を覆うか
デバイスインテリジェンスがパスキーの隙を覆うのは、それが別の軸で動作するからです。パスキーは「このユーザーは正しい鍵を持っているか」を問い、デバイスインテリジェンスは「これは、すべてのアクションで、このアカウントに対して私たちが期待するデバイスと文脈か」を問います。2つ目の問いは、パスキーが関与していないとき——まさに回復、登録、未登録のテールの状況——でも答えられます。
その仕組みは、永続的なデバイスアイデンティティです。ブラウザ、ハードウェア、ネットワーク、行動のシグナルから構築される安定した識別子で、保存された認証情報に頼ることなく、セッションをまたいで再訪するデバイスを認識します。(その識別子がどう構築され、なぜCookieを消しても生き残るのかはデバイスフィンガープリンティングの仕組みで扱っています。)そのアイデンティティをアカウントの履歴に紐づけることで、4つの隙のそれぞれに、パスキーが提供できない制御が加わります。
既知のデバイスに紐づけた回復。 回復の試みが届いたとき、デバイスインテリジェンスは、回復フローが本来答えられない問いに答えます。この回復は、このアカウントがこれまで使ったことのあるデバイスから開始されているか? データセンターのIPで、新しい国の真新しいデバイスからの回復は、ユーザーのいつものノートPCからの回復よりも明確にリスクが高いのです。そのシグナルによって、回復フローを段階化できます——既知のデバイスからは軽い検証、未知のデバイスからは重い検証(または保留)——全員に同じ弱いSMSチェックを適用する代わりに。
デバイスの信頼で守られた登録。 新しいパスキーを登録する要求は、デバイス履歴に照らしてスコアリングできます。ユーザーの確立されたデバイスからパスキーを登録するのは想定内です。数分前に現れたデバイスから、回復イベント直後に、疑わしいネットワークから登録するのは、アカウントが乗っ取られつつある兆候です。デバイスインテリジェンスは、その登録要求を見えないものではなく読み取れるものにします。
継続的な、ログイン後のセッションスコアリング。 デバイスアイデンティティはログイン時だけでなくすべてのリクエストで評価されるため、あるデバイスで始まって別のデバイスで続くセッション——盗まれたトークンが別の場所で再生される兆候——は検知可能です。認証済みデバイスから離れていくセッション途中のデバイスやネットワークの文脈の変化は、玄関の認証強度がどれほどでも捕捉できないハイジャックのシグナルです。これはゼロトラストのデバイス検証の原則です——信頼は一度扉で与えられるのではなく、継続的に評価されます。
未登録者のカバレッジ。 パスキーを一度も採用しなかったユーザーにとって、デバイスインテリジェンスが働く層です——既知のデバイスを認識し、正当なログインを低い摩擦で通しつつ、まさにこの層を狙うクレデンシャルスタッフィングや未知のデバイスの試みにフラグを立てます。部分的なパスキー普及によって最もさらされているユーザーこそ、デバイスインテリジェンスが最も直接的に守る相手です。
一貫した筋はこうです。パスキーはある一瞬の鍵の所持を証明し、デバイスインテリジェンスはあらゆる瞬間にわたってデバイスと行動の文脈を確立します。前者の隙は、まさに後者の領域なのです。
実務で2つの層がどう組み合わさるか
多層のデプロイでは、パスキーとデバイスインテリジェンスが並行して動作し、それぞれが適した判断について権威を持ち、単一のリスク像に情報を供給します。
ログインでは、パスキーがある場合はそれが強力な主要因子です——フィッシング耐性があり、共有秘密がありません。デバイスインテリジェンスはその傍らで動作し、デバイスが既知であり文脈が正常であることを静かに確認します。認識済みのデバイスからのパスキーログインでは、これは目に見えません。ユーザーはサインインし、何のプロンプトも出ません。デバイスシグナルは、それが期待と食い違うときにのみ参照されます。
回復と登録では、パスキーが提示されていない(それがこれらのフローの本質です)ため、デバイスインテリジェンスが主要なリスク入力になります。smart signalsの判定——既知のデバイス、ネットワークレピュテーション、行動の一貫性——が、フローを軽く進めるか、より強力な検証にエスカレートするか、レビューのために保留するかを決めます。ここで、パスキー展開の本当の裏口に鍵がかかります。
ログイン後は、デバイスインテリジェンスが継続的な評価を提供します。パスキーの仕事は認証で終わりました。デバイス層はトークン窃取を示す文脈の変化についてセッションを見張り、デバイスシグナルがセッション途中で崩れたときに再認証を強制できます。
未登録者については、デバイスインテリジェンスがログイン時にも主要な負荷を担い、再訪する既知のデバイスをクレデンシャルスタッフィングの試みから区別します——ユーザーがパスキーを採用するまで(そして採用すれば)。
分業がきれいなのは、2つの仕組みが本当に異なる問いに答え、本当に異なる形で失敗するからです。パスキーは、パスワードのリセットを要求しているデバイスが信頼できるかを教えられません。デバイスインテリジェンスは、鍵の所持についてフィッシング耐性のある暗号的な証明を提供できません。一方を他方なしに展開すれば、予測可能な穴が残ります——パスキー単独では回復とセッションのフローが柔らかいままであり、デバイスインテリジェンス単独では玄関での暗号的な認証強度を欠きます。
パスキー展開のための正直な語り口
パスキーを展開するなら、正確な社内メッセージは「アカウント乗っ取りを解決した」ではありません。「攻撃ベクトルとしての認証情報の窃取を排除した。そして今、攻撃者が移動するフローを固める必要がある」です。それらのフロー——回復、登録、セッション、未登録のテール——は、玄関が強くなったからこそ、次のATOの試みが集中する場所です。回復を同時に固めないパスキー展開は、鍵を扉から窓へ移しながら窓を開けたままにしているようなものです。
その固めこそ、デバイスインテリジェンス層が提供するものであり、最も強力なATOの姿勢が両者を組み合わせる理由です。パスキーは認証イベントをほぼ無敵にします。デバイスインテリジェンスは、アカウントライフサイクルの残り——認証イベントが無敵になったからこそ攻撃者が向かう部分——を観測可能かつスコアリング可能にします。
Tracioは、その組み合わせのデバイスインテリジェンスの半分を供給します。Cookieを消して新しいセッションになっても生き残る永続的なデバイスアイデンティティ、ネットワークと行動のリスクシグナル、そして回復、登録、継続的なセッションチェックに差し込める50ms未満で返される判定です。既知のデバイスからのパスキーログインの背後で静かに動作し、パスキーが届かないところで的確に前へ出ます。
デバイスインテリジェンスが、あなたのパスキー展開が開けたままにするフローをどう覆うか、見てみませんか?
無料トライアルを始める——2,500回の検証が無料、クレジットカード不要。デモを予約すると、あなたの認証、回復、セッションのアーキテクチャに対してデバイスインテリジェンスを対応づけられます。