[FIDOアライアンス東京セミナー レポート] グーグルにおけるFIDOへの取り組み、その最新状況 #fidoalliance

本記事はFIDOアライアンス東京セミナーのセッション、グーグル合同会社 デベロッパーアドボケイト えーじ様による「グーグルにおけるFIDOへの取り組み、その最新状況」のレポートとなります。

レポート

本セッションは、グーグルによるFIDO関連のアップデートや、今後の動向について紹介いただきました。

グーグルはここ最近でFIDO関連で何をしてきたのか？

はじめに、グーグルによる最近のFIDO関連のリリースについての紹介がありました。

• Google Chrome 67でWebAuthenが有効化された
  • （参考）Enabling Strong Authentication with WebAuthn
    • WebAuthenはブラウザがFIDOをサポートするために必要なAPI
• グーグルではSMSでのOTPや認証機による２段階認証でセキュリティを高める取り組みをしてきた
  • ターゲット攻撃に対して76％の確率でユーザーを守れていた
  • Security Keyを使う場合は、今のところ乗っ取られた事例が無い
  • アカウントハイジャックは8割くらいがフィッシングによるものだが、FIDOはフィッシングに強い
• WebAuthenはWeb標準になった
  • ChromeだけではなくEdge、Firefox、Safariに対応
  • これで日本のwebユーザーの9割はカバーできる
• Chrome 70はPlatform Authenticator（自身を認証機として使えるデバイス）に対応した
  • macOSならTouch ID
  • WindowsならWindows Hello
  • Androidなら指紋認証
• Androidが自分自身を認証機として使えるようになった
  • ユーザーがセキュリティキーを買うのではなく、すでに持っているデバイスでFIDOの恩恵を得られる
    • これはセキュリティ的にも、ユーザビリティにも意味がある
• PIXEL4
  • 顔認証できる
    • まだ顔認証はFIDOとして使えない
  • Chrome 79からPIXELの顔認証を含めた、他のいろんな認証方法に対応した

顔認証のデモ

セッションの途中にパスワードマネージャを顔認証で認証するデモがありました。 パスワードマネージャはブラウザでパスワードを生成し、サービスごとのパスワードを管理するアプリですが、登録済みのパスワードの確認時に顔認証を利用するデモでした。

Phone as a security key

• 二要素認証でグーグルアカウントにログインするとき、セキュリティキーが必要だった
  • これの代わりに、アンドロイドデバイスを使えるようになった
    • 同じようなことはもともとできたが、FIDOのテクノロジーに乗ってるのでフィッシングに強い
  • グーグルアカウントとアンドロイドアプリを持っていれば使えるので有効にしてほしい
    • 位置情報ON & BluetoothをONにして、security.google.comから登録できる
  • デスクトップでログインしようとしたときに、スマホ側に本人確認が来る

caBLE（cloud assisted Bluetooth Low Energy）

Phone as a security keyを、WebAuthen標準にする取り組みとしてcaBLEの紹介がありました。 参考:https://github.com/w3c/webauthn/pull/909

• Phone as a security keyはグーグルアカウントを前提としている
  • これをWebAuthen標準仕様にする取り組み
  • Chrome、アンドロイドで使えるようにする。サードパーティのベンダーが作ったものでも動く
• RPにログインするときに、新しくセキュリティキーを買わなくても、スマホで認証可能になる

caBLEのデモ

以下の流れで、caBLEのデモがありました。

1. セキュリティキー登録時に、'新しいスマートフォン'を選ぶとQRコードがでる
2. QRコードをスマートフォンで読み込む
3. サイト側にキーが登録される
4. サイト側で認証しようとすると、スマートフォン側にログインしてよいかの確認がでる
5. OKすると、ログイン成功

まとめ

• ChromeはFIDOのクライアントとして使えるようになった
• Androidはプラットフォーム認証機として利用可能
• Chrome79でより広い本人確認の機能が使えるようになる
• caBLEの標準化及び開発を進めている