パスワードは死んだ。パスキーの時代が始まる…。#222

パスワードは60年近くにわたり「セキュリティの大敵」と言われ続けてきたが、人類はついにその代替技術を手に入れた。それが「パスキー」だ。このエピソードでは、堀元見と水野太貴が、パスワードの本質的な脆弱性から、公開鍵暗号を応用したパスキーの仕組み、そしてなぜ今この技術が急速に普及しつつあるのかを、軽快な掛け合いと脱線を交えながら解説していく。特に印象的なのは、『DEATH NOTE』を「パスキー啓蒙漫画」として読み解く大胆な解釈と、エンジニアリングの理想としての「フールプルーフ（対馬鹿性）」という概念だ。

0:05なぜパスワードは60年間も「大敵」であり続けたのか

堀元は冒頭で、パスワードが「セキュリティの大敵」と言われ続けてきた事実を指摘する。問題の本質は、パスワードという「絶対に漏らしてはいけない機密情報」を、ネットワーク越しにサーバーへ送信しなければならないという設計そのものにある。水野が「偽サイトを作った人間がいたら、パスワードを奪える」と鋭く指摘した通り、これはフィッシング詐欺の温床となる。パスワードを暗号化して送信しても、そもそも「送る」という行為自体がリスクを生むのだ。

さらに、サーバー側の管理リスクも無視できない。堀元は自身の過去を振り返り、人生初のウェブサービス「ケナス」（悪口投稿サイト）を2日で作り、パスワードを平文のまま保存していたことを告白する。「開発者のリテラシーがないと、パスワードがそのまま漏れる可能性がある」という指摘は、ユーザー側にも「このサイト、ちゃんと管理してるかな？」というリテラシーが求められる現実を浮き彫りにする。実際、大手企業でも平文保存の流出事故は後を絶たない。

12:21パスキーの仕組み——「秘密情報を送らない」という革命

パスキーの核心は、公開鍵暗号の「電子署名」を認証に応用した点にある。堀元は、楽天証券へのログインを例に、流れを丁寧に説明する。まず、サーバーがランダムなデータ（チャレンジ）を生成し、ユーザーに「これに署名してみろ」と要求する。ユーザーは自分の秘密鍵でチャレンジに署名し、その結果をサーバーに返す。サーバーは事前に登録された公開鍵で署名を検証し、元のチャレンジに戻れば「本人だ」と認証する。

ここで重要なのは、秘密鍵そのものは一度もネットワークに送られていないという点だ。送られているのは「秘密鍵で署名した結果」だけ。堀元はこれを「家を買うときに現金を持ち歩くのではなく、銀行振込で済ませるようなもの」と喩える。パスワードのように「取られたら終わり」な機密情報を送る必要がなく、原理的に漏洩リスクが存在しない。サーバーがハッキングされても、漏れるのは公開鍵だけ——公開鍵はそもそも公開してよい情報なので、被害はゼロだ。

21:04『DEATH NOTE』はパスキー啓蒙漫画だった？

このセクションは、堀元の独創的な解釈が炸裂する。彼は、ミサミサがテレビ中継で「指定時刻にキャスターを殺してみせる」シーンを「パスキー認証」として読み解く。彼女はデスノート（秘密鍵）そのものを見せることなく、「デスノートの持ち主にしかできないこと（殺人）」を実行することで、間接的に自分が所有者であることを証明した。これはまさに、チャレンジ（「このキャスターを殺してみろ」）に署名（殺人）で応えるパスキー認証の構造だ。

ところが、ミサミサは後にデスノートを直接ライトに見せに行く——これは「パスワード認証」への堕落であり、その結果、彼女は捜査本部にマークされ、最終的に捕まる。堀元は「パスキー認証を続けていれば捕まらなかった」と断言する。さらに、死神リュークが主人公にしか見えない点を「秘密鍵のメタファー」と解釈し、デスノート全体を「機密情報（ノート）を持ち歩いた者から捕まっていく、パスワード認証の脆弱性を描いた作品」と位置づける。水野も「その読み、めっちゃ面白いわ」と感嘆する、このエピソード最大の見せ場だ。

30:02パスキーにまつわる誤解を解く——生体認証は「鍵を開ける道具」に過ぎない

多くの人が抱く誤解は、「パスキー＝生体認証（指紋や顔認証）」というものだ。堀元はこれを明確に否定する。パスキーの本体はあくまで端末内の秘密鍵であり、生体認証は「秘密鍵を使用してよいか」を確認するための、いわば端末のロック解除手段に過ぎない。指紋情報が楽天証券のサーバーに送られることは一切ない。チャレンジに応答するのは秘密鍵であり、生体情報はスマホの中だけで完結する。

また、フィッシング詐欺への耐性も極めて高い。偽サイトがチャレンジを送ってきても、ユーザーが応答できるのは「その偽サイト用の秘密鍵」で署名した結果だけ。正規の楽天証券の秘密鍵は別のものなので、偽サイトはその応答を何の役にも立てられない。さらに、パスキーはサイトごとに異なる鍵ペアが生成されるため、仮に悪意あるサイトが楽天証券のチャレンジを中継しようとしても、ドメインが異なるため別の鍵で署名されてしまい、意味をなさない。堀元は「フィッシング詐欺はほぼ無力化される」と断言する。

36:40啓蒙ではなくフールプルーフ——エンジニアリングの理想

パスワード問題への伝統的なアプローチは「啓蒙」だった。「強いパスワードを使いましょう」「使い回しをやめましょう」——世界パスワードデーは毎年5月の第一木曜日に設定され、10年以上続けられてきた。しかし、フィッシング詐欺の被害件数は全く減らず、2025年、ついに「世界パスキーデー」に名称変更された。堀元は「啓蒙というアプローチは世界的にほぼ諦められている」と冷徹に指摘する。

ここで登場するのが「フールプルーフ（対馬鹿性）」という概念だ。どんなに愚かなユーザーが使ってもトラブルが起きない設計——パスキーはまさにこれを体現している。ユーザーは秘密鍵の存在すら意識する必要がなく、触ることもできない。業界団体の仕様書には「オーナーであっても触れないのが好ましい」と明記されているほどだ。堀元は「人間に触らせると、必ずそれをハックしようとするやつが出てくる」と述べ、技術者と人文系の世界では「啓蒙」という言葉の響きが真逆に聞こえることへの違和感を語る。技術者は「愚かなことはできないようにする」発想を持つのに対し、人文系は「もっと情報を提供すれば人は賢くなる」と考える——この対比が、この回の隠れたテーマでもある。

まとめ

このエピソードが残すものは、「パスキーに移行すべきだ」という実用的なメッセージだけではない。パスワードという60年来の「当たり前」を疑い、その設計上の根本的欠陥を暴き、そして「人間の愚かさを前提とした設計」というエンジニアリングの理想を、軽妙な語り口と『DEATH NOTE』というポップカルチャーのフィルターを通して描き出した点にある。水野が「確定申告もフールプルーフにしてほしい」と嘆くラストは、技術の理想と現実社会のギャップを象徴しており、笑いながらも考えさせられる。パスワードは死んだ——しかし、その死を悼むよりも、新しい時代の認証がもたらす「愚か者にも優しい世界」に期待したい、と思わせる一編だった。