FreeBSD使いの翻訳業者が挑む「パスキー義務化」 ―― PGPから30年、秘密鍵をAndroidに封じ込めた理由
秘密鍵、30年目の社会実装 ―― PGP、FreeBSD、そしてAndroidという名の「実印」
今日は2026年3月15日。個人の翻訳事務所 ヒノトリホンヤクの本店がある東京都の天気はまあまあ。 ということにしておいてください。実はこの記事は2026年2月1日頃に書き始めています。 たぶん、3月2日頃には公開するでしょう。さて、今回はいま証券会社などでホットな話題になっているパスキーによるセキュリティのお話です。
[1] 1990年代、私たちはPGP(Pretty Good Privacy)で遊んでいた
今から30年ほど前(今というのは2026年です)、私は企業の事務屋として「組織」の中にいました。当時の社内ネットワークはまだ牧歌的だったのですが、それでも「情報システム部によるメール監視」の噂は、若手たちの間でまことしやかに囁かれていたものです。
私は同期の友人と、ある「遊び」に興じていたんですがコレです。→ Phil Zimmermannが開発したPGP(Pretty Good Privacy)。今でこそGPG(GNU Privacy Guard)が一般的だが、当時はまだRSAアルゴリズムの特許や輸出制限が騒がれていた時代の、紛れもない「PGP」です。(ぴーじーぴーですよ。じーぴーじーじゃないんですよ。 ふたつでじゅうぶんですよ! わかってくださいよ! by Blade Runnerのスシマスター)
PGPについては、下記のブログを参照。(英語です)
私たちは自分のPCで秘密鍵を生成し、互いのフロッピーディスクから公開鍵を(社内郵便で)交換し、業務連絡を暗号化して送り合いました。
(まあ、実は業務連絡ではなくて雑談というか情報交換というか、はい、情報システム部の悪口です。”5年前までは「電算部」という名前だったくせに。ナマイキだぜ。あいつら、デスクトップのことをディスクトップって書くし。噂だけどTCP/IPって言葉を聞くと鼻から血が出るらしいぜ”)
公開鍵暗号方式という数学的バリアを用いて、物理的な監視網を無効化する。 「俺たちはツトム・シモムラか!ワハハハハハ!」 その万能感は、当時の私たちにとって、組織に対するささやかな「知の反逆」でもあったわけです。(公開鍵暗号は、あのケヴィン・ミトニックも解読や突破をあきらめたんだぜ。情報システム部のLinuxも使えねえ盆暗どもに解読できるわけがない。へっへっへ)
(まあ、実は業務連絡ではなくて雑談というか情報交換というか、はい、情報システム部の悪口です。”5年前までは「電算部」という名前だったくせに。ナマイキだぜ。あいつら、デスクトップのことをディスクトップって書くし。噂だけどTCP/IPって言葉を聞くと鼻から血が出るらしいぜ”)
公開鍵暗号方式という数学的バリアを用いて、物理的な監視網を無効化する。 「俺たちはツトム・シモムラか!ワハハハハハ!」 その万能感は、当時の私たちにとって、組織に対するささやかな「知の反逆」でもあったわけです。(公開鍵暗号は、あのケヴィン・ミトニックも解読や突破をあきらめたんだぜ。情報システム部のLinuxも使えねえ盆暗どもに解読できるわけがない。へっへっへ)
[2] 秘密鍵の所在を巡る「実印」の思想 ―― Androidへの集約
2026年2月(先月です)。証券業界のパスキー義務化に際し、私はひとつの「思想的決断」を下しました。それは、「Androidスマートフォンを唯一の物理的な実印(マスター印籠)に据える」ということ。
なぜMacBookのセキュアチップ(Enclave)や、各ブラウザのプロファイルに鍵を分散させなかったのか。
理由は、私の「変人」としてのOS環境にあります。私は仕事ではMacを使うが、同時にUbuntuやFreeBSDといった環境も日常的に行き来します。(ドヤァ)
FreeBSDのBluetoothスタック(hcidumpと格闘した経験がある方なら分かるだろう)の気まぐれさや、OSごとのパスキー実装の断絶を考えれば、特定のPC本体に「実印」を閉じ込めるのはリスクでしかないでしょう。
FreeBSDのBluetoothスタック(hcidumpと格闘した経験がある方なら分かるだろう)の気まぐれさや、OSごとのパスキー実装の断絶を考えれば、特定のPC本体に「実印」を閉じ込めるのはリスクでしかないでしょう。
Androidのスマートフォンという「外部デバイス」に秘密鍵を封じ込め、CTAP2(Client to Authenticator Protocol)を介して、どのOS、どのブラウザからでも「外部認証器」として署名を呼び出す。これこそが、OSの壁を越えて一貫した認証を担保するための、最も硬派で合理的なアーキテクチャだと考えたのです。
[3] 三重の防衛線 ―― クラウド、そして最後は「紙」
だが、秘密鍵をAndroidひとつに集約するということは、その紛失や破壊がそのまま「全資産へのアクセス遮断」を意味します。このリスクをヘッジするために、私は証券会社への突撃前に、三重のバックアップ体制を構築しました。
まず、Googleパスワードマネージャーによるクラウド同期の許容です。Googleのクラウドにある秘密鍵は、エンドツーエンドで暗号化されており、Google自身も中身を見ることはできません。(だそうです)
これが、万が一Androidが「私の身代わりとなって銃弾を受けた(あるいは単に盗まれた)」際の、第一の予備鍵となるわけです。
これが、万が一Androidが「私の身代わりとなって銃弾を受けた(あるいは単に盗まれた)」際の、第一の予備鍵となるわけです。
そして、そのGoogleアカウントという「要塞」自体にログインできなくなる事態を防ぐため、私は「バックアップコード10本」を生成しました。
ここで私は、徹底的にアナログに回帰します。バックアップコードは、デジタルファイルとして保存もしなければ、スクリーンショットも撮らない。古い文房具好きなら誰もが知る、あの愛用の手帳に、「ボールペンによる手書き」で10本のコードを書き写しました。
最新の暗号学とパスキーの裏側を支えるのは、結局のところ、金庫に眠る「紙とインク」という900年前から変わらぬテクノロジーです。
1. 生体認証(身体)
2. クラウド(暗号数学)
3. 紙の手帳(物理的実体)
この三重奏が揃って初めて、私は安心して「実印」を振り回せるようになるということです。 (ほんとうに振り回しちゃダメです)
[4] 証券会社三番勝負 ―― 各社の実装を解剖する
準備を整え、私は三つの城門(証券口座)へと向かいました。証券会社パスキー三番勝負です。
第一の門:α(アルファ)証券 ―― 位置情報まで喰らう「多重防壁」
最初の対戦相手、α証券は、FIDO2の仕様を最も「重く」解釈していたようです。登録時にBluetoothによる近接証明に加え、スマートフォンのGPSによる位置情報を要求してきたのです。いやはや。
FreeBSD使いとしては、この手の「デバイスの全権限をよこせ」という要求には吐き気をおぼえます。だが、実印登録の儀式として割り切りました。
一度登録してしまえば、MacBookのVivaldiからログインする際、Android側が「署名を要求されています」と静かに光り、指紋認証一発で門が開く……はずです。
一度登録してしまえば、MacBookのVivaldiからログインする際、Android側が「署名を要求されています」と静かに光り、指紋認証一発で門が開く……はずです。
第二の門:β(ベータ)証券 ―― 「WebAuthnの理想形」
オンライン専業のここβ証券は、WebAuthnの仕様をスマートに実装していました。私は、ブラウザが吐き出すQRコードをAndroidでスキャンし、トンネルを掘って署名を返しました。Ubuntuからアクセスしても同様に機能する。私が目指した「Androidをハブにしたマルチプラットフォーム認証」が最も美しく機能した瞬間だったわけです。(白状しますが、FreeBSDのラップトップだとダメみたいです。ヒント:Bluetooth)
第三の門:γ(ガンマ)証券 ―― 「守旧派の呪縛」
難敵はここでした。最後の対戦相手、γ証券のUIは、執拗に「MacBook本体」や「Vivaldiのプロファイル」に鍵を保存させようと仕向けてきたのです。「別のデバイス(Android)を使用」という選択肢を、あたかも「選ばせない」かのように配置していました。
彼らの設計思想は「1デバイス=1ブラウザ=1パスキー」という、中央集権的な管理に縛られています。
私は結局、AndroidスマートフォンのChromeから直接乗り込んで「Android (Chrome)」というラベルのパスキーを強制的に生成させました。彼らがラベルをどう貼ろうが、私のGoogleアカウントに紐づいた実印であることに変わりはないです。
私は結局、AndroidスマートフォンのChromeから直接乗り込んで「Android (Chrome)」というラベルのパスキーを強制的に生成させました。彼らがラベルをどう貼ろうが、私のGoogleアカウントに紐づいた実印であることに変わりはないです。
[5] 結論:事務屋のペン、エンジニアの鍵
2026年3月6日のパスキー義務化を前に、私のメールボックスは「MFA認証(多要素認証・認証)」という冗長な日本語を操るフィッシング詐欺で溢れかえりました。
彼らは、本物(実際の証券会社たち)が焦って締め切りを設けた隙に、「書類の提出が必要になるぞ」(⬅️ウソです)と恐怖を煽ってきたのです。
彼らは、本物(実際の証券会社たち)が焦って締め切りを設けた隙に、「書類の提出が必要になるぞ」(⬅️ウソです)と恐怖を煽ってきたのです。
だが、30年の事務屋人生で、40枚や50枚の「所定の書類」を埋めることなど日常茶飯事(会社員時代は、これをニチジョウチャハンジとふざけて発音していました。真似しないようにネ)だった私にとって、”書類作れ”は脅し文句ではないです。 北斗の拳的にいうと「効かぬ!!」
むしろ、書類はデジタルが壊れた際の「最後の対話手段」でしょう。
むしろ、書類はデジタルが壊れた際の「最後の対話手段」でしょう。
1998年のPGP遊びから始まった私の秘密鍵の旅は、2026年、Androidという物理デバイスと、一冊の紙の手帳に帰結したわけです。
OSを問わず、UbuntuでもFreeBSDでも、実印をポケットに忍ばせておけばいつでも門は開くはず。(実は2026年現在、FreeBSD+Androidスマートフォンの中の実印は、あまり期待できない。ヒント:Bluetooth)
この「自分の資産に対する支配権(Sovereignty)」を物理的に握っている感覚。これこそが、かつてのPGP使い(会社の同期の友人と、私)が、そして現代のエンジニアが、システムに対して持ち続けるべき「健全な不信感」の正体ではないでしょうか。
この「自分の資産に対する支配権(Sovereignty)」を物理的に握っている感覚。これこそが、かつてのPGP使い(会社の同期の友人と、私)が、そして現代のエンジニアが、システムに対して持ち続けるべき「健全な不信感」の正体ではないでしょうか。
免責事項:私はエンジニアではありません。一介の翻訳業者です。学校は経済学科だしバリバリの(というかヘロヘロの)事務屋文系ですけどね。元職の。
追記:
2026年2月9日月曜日になりました。パスキー三番勝負をやった証券会社各社にログインしてみましたが……。
こちらとしては、基本はまだMFAでログインをねらいます。 いまここでのパスキー義務化は、証券会社の保身におつきあいしているだけです。 こちらから「パスキーを使わせてくだせえ」とお願いしたわけじゃない。 様子見だ。
こちらとしては、基本はまだMFAでログインをねらいます。 いまここでのパスキー義務化は、証券会社の保身におつきあいしているだけです。 こちらから「パスキーを使わせてくだせえ」とお願いしたわけじゃない。 様子見だ。
α証券:
週明けで大騒ぎになっている模様。
コールセンターがパンクしていてつながらないゴメンナサイ。
オンラインサービスにログインすると、そのように赤い字で表示されています。
コールセンターがパンクしていてつながらないゴメンナサイ。
オンラインサービスにログインすると、そのように赤い字で表示されています。
まっさきに脅してきた証券会社だからな。
お気の毒だが、自業自得です。 ざまぁ。
β証券:
この証券会社、さすがはオンライン専業。 私はMFAで(パスキーを使わずに)ログインしたのですが、β証券は、平然と営業していました。コールセンターがパンクしている気配もなし。(誰もいいわけをしていない)
潔いですね。
潔いですね。
オンライン専業ですからね。顧客も「パスキー、しょうがねえな。まったくもう」と乗り越えてしまうのでしょう。
いわゆる顧客のITリテラシーが、ちょっと違うんですよ。
うまく行かなかったら、コールセンターに電話する前に自分でググる。
それに、オンライン専業の証券会社には「支店」という概念がありません。「支店長」という存在もいない。
オンライン専業の金融機関に顧客がログインできないというトラブルが、月曜日にバクハツしたらどうなるでしょう?
それはもう、その金融機関の存在意義が崩壊したのと同じでしょう。
それをやらかしたら、「金融機関が顧客の資産を預かったままどこかへトンズラして逃げた」という事件と外形的に見分けがつかないですよ。
彼らはコンピューターとネットワークとサイバーセキュリティというものが世界に存在していること、機能していること、を前提としてこの世に生まれた企業なのですね。
それは、気合いと覚悟が違いますよ。
うまく行かなかったら、コールセンターに電話する前に自分でググる。
それに、オンライン専業の証券会社には「支店」という概念がありません。「支店長」という存在もいない。
オンライン専業の金融機関に顧客がログインできないというトラブルが、月曜日にバクハツしたらどうなるでしょう?
それはもう、その金融機関の存在意義が崩壊したのと同じでしょう。
それをやらかしたら、「金融機関が顧客の資産を預かったままどこかへトンズラして逃げた」という事件と外形的に見分けがつかないですよ。
彼らはコンピューターとネットワークとサイバーセキュリティというものが世界に存在していること、機能していること、を前提としてこの世に生まれた企業なのですね。
それは、気合いと覚悟が違いますよ。
γ証券:
一番わけがわからなかったです。
私がMFAでログインしようとして顧客番号を入力したら、
「あなたはもうパスキーを設定したのでMFAではログインさせない。さっさとパスキーを使え」
と表示されました。
「絶対に証券会社の流儀に従ってもらう」
という強い執念を感じました。
「絶対に証券会社の流儀に従ってもらう」
という強い執念を感じました。
その守旧派の執念とプライド、わからないでもないが、それだったらログイン画面にMFAのUIを出すな。(笑)
「パスキーでログイン」ボタンだけを表示すればいいじゃないか。
こういう、ログインアテンプトだけさせておいて
「残念。入れないよ」
とか
「はっはっは。いまはサービス時間外だよ。またあとでログインしな」
というトラップは最低です。腹が立つ。
時間を返せ。
このγ証券のファイナンシャルグループは昔からシステムの作り方がヘタクソで性格が悪い。
私としてはここの口座にETFを持っているだけなので、いつか他社に移管してやろうか。
(なんですか。分配金が安定しているからずっとホールドしてるんですよ。 本体価格も順調に膨張しているし。キャッシュが必要になったら最後に売却しますよ。いいじゃないですか 笑)
私としてはここの口座にETFを持っているだけなので、いつか他社に移管してやろうか。
(なんですか。分配金が安定しているからずっとホールドしてるんですよ。 本体価格も順調に膨張しているし。キャッシュが必要になったら最後に売却しますよ。いいじゃないですか 笑)
追記(その2):
【2026年2月26日 ―― 崩壊する石橋と、静かなる電撃戦】
時計の針を少し進めましょう。今日は2026年2月26日、木曜日です。
「運命の3月6日」まで残り一週間余り。本来なら、各社のエンジニアたちが最終チェックに余念がなく、顧客には最後通牒のメールが届き、戦雲が低く垂れ込めている……はずでした。
ところが、ここで驚くべき事態が起きました。
1. α証券の「白旗」と、断末魔の来店予約
あの、真っ先に赤フォントで顧客を威圧してきたα証券が、あっけなく白旗を挙げました。
ログイン画面には、力なくこう記されています。
「パスキー認証の必須化を延期します。4月下旬以降、順次実施いたします」
爆笑。いや、失笑。
あれほど「義務化だ、必須だ、できない客は知らんぞ」と重機で石橋を叩き割るような勢いだったのに、いざ橋が崩れ始めると、自分たちが一番慌てて補修工事(延期)を始めたわけです。
さらに驚いたのが、フロントページの一角に躍り出た一文です。
「ご来店される場合は、事前にご予約をお願いいたします」
証券会社が「来店予約」を叫ぶ。これはもう、デジタルの敗北宣言そのものです。おそらく、パスキーの設定に挫折し、電話も繋がらず、怒り狂った顧客たちが全国の「支店」という物理的な砦に押し寄せているのでしょう。支店長たちが平謝りしながら、慣れない手つきで顧客のスマホを操作している光景が目に浮かびます。
しかし、α証券よ。4月下旬まで延期して、もし4月上旬に「クレデンシャル漏洩」の大規模インシデントが起きたらどうするつもりなのだ?
その時、金融庁の査察官に「なぜ2月の時点で必須化しなかったのか」と問われて、また「来店予約が忙しくて……」とでも答えるつもりか?
しゃもーーーん! (by Michael Jacson, BAD)
その時、金融庁の査察官に「なぜ2月の時点で必須化しなかったのか」と問われて、また「来店予約が忙しくて……」とでも答えるつもりか?
しゃもーーーん! (by Michael Jacson, BAD)
2. β証券:血の涙を拭うプロの背中
対照的なのが、オンライン専業のβ証券です。
今日もWebサイトは凪(なぎ)のように静かです。フィッシング詐欺への注意喚起は怠りませんが、そこには「ログインできない顧客への言い訳」も「延期」の文字もありません。
もちろん、楽屋裏ではエンジニアたちがRed BullやMonsterを胃に流し込み、血の涙を拭いながら、押し寄せるパスキー認証のリクエストを捌くコードを書いているのでしょう。だが、彼らはその「社内の混乱」の涙と鼻水を1ミリリットルも外に滲み出させない。
なぜでしょうか? 彼らには「銀座の支店」も「支店長」もいないからです。Webサイトが止まれば、彼らはこの世から消滅する。
顧客がログインできなくなれば、それは「預かった資産を抱えて夜逃げした」ことと外形的に区別がつかない。
この「退路のない覚悟」が、α証券との決定的な差となって現れています。
顧客がログインできなくなれば、それは「預かった資産を抱えて夜逃げした」ことと外形的に区別がつかない。
この「退路のない覚悟」が、α証券との決定的な差となって現れています。
3. 番外編:eBayに見る「ステルス電撃戦」の完敗
(スビバセン、完敗したのはeBayではなく私です)
そして、今回の「パスキー三番勝負」には、思わぬ番外編がありました。
相手は、アメリカ生まれのテック巨人、eBayです。
PGPで遊び、FreeBSDでカーネルと格闘し、満を持して物理セキュリティキー(TrustKey)まで購入したこの私が、気がついたら「 いつの間にか、eBayのパスキー登録を完了させられていた」のです。
何が起きたのか?
eBayのWebサイトには、「パスキーとは何か」という能書きも、セキュリティ教育も、同意のチェックボックスすらありませんでした。Chromeでいつものようにアクセスしていたら、GoogleパスワードマネージャーとeBayのバックエンドが、私の知らないところで密談を済ませていたのです。
(まあ、何かを私がクリックしていたのでしょうけど。でも、阿久悠が書いたピンクレディの「UFO」の歌詞じゃないですが、
(まあ、何かを私がクリックしていたのでしょうけど。でも、阿久悠が書いたピンクレディの「UFO」の歌詞じゃないですが、
信じられないことでしょうけれど
ウソじゃないの ウソじゃないの
ほんとのことよー
技術的に言えば、eBayはFIDO2/WebAuthnの実装において、「顧客に選択させる」という摩擦を徹底的に排除したのでしょう。
2. OSやブラウザ側のパスワードマネージャーと高度に連携し、ユーザーが「保存」というボタンを押した瞬間、それがパスワードではなくパスキーとして生成されるよう誘導する。
「パスキー? よーし、ストリートファイトの始まりだ。かかってこい!
私は日本じゃ証券会社パスキー三番勝負をこなして生き残った男だぞ。 怪我をしたいやつからかかってこい!」
と拳を握りしめていた私は、戦う隙さえ与えられませんでした。 気づけば向こう岸へ運ばれていました。
私は日本じゃ証券会社パスキー三番勝負をこなして生き残った男だぞ。 怪我をしたいやつからかかってこい!」
と拳を握りしめていた私は、戦う隙さえ与えられませんでした。 気づけば向こう岸へ運ばれていました。
「ああ、オマエ? もうパスキーにしておいたから。便利でしょ?」
と肩を叩かれた気分です。
この圧倒的な手際の良さ。
顧客を「説得」しようとして自爆する日本のα証券と、顧客を「無意識のうちに最適解へ導く」eBay。
「ハイテクがなければ死ぬ」企業の執念と技術力に、完敗というかむしろ、不戦敗です。
eBayだって「eBay銀座支店」がない、「退路が断たれた or 退路など最初からない」テックジャイアントです。
さらに言ってみれば、eBayにはコールセンターもない。(たぶんナイ)
ユーザーに説明してるヒマがあったら、さっさとパスキーに移行してしまいたいのでしょう。 eBay恐るべし。
追記。
eBayの「有無を言わさないパスキーへの誘導」
の実態がわかりました。スマートフォン
のChromeのキャプチャですが。
ご覧ください。 パスキーとかセキュリティとか説明してないでしょ?
余談ですが、私がeBayに足を踏み入れたのは2007年のことです。
当時は、相手が詐欺師でないことを祈りながら(祈ってもダメです。証券会社で金融商品を買うのと同じです。 祈ってもムダです。 当時のeBayの場合祈っても怒ってもSellerの何人かは実際に詐欺でした)、拙い英語で海を越えた取引に心臓をバクバクさせていました。
いや、「拙い英語で」ではないですね。 私も今ではプロの翻訳業者です。 19年前の私の英語だって、拙くはなかった。本当ですよ。 疑うんですか? だったら証明してみせてください。笑
こう見えて私、1990年代後半はJTCで海外営業だったんですよ。
当時は、相手が詐欺師でないことを祈りながら(祈ってもダメです。証券会社で金融商品を買うのと同じです。 祈ってもムダです。 当時のeBayの場合祈っても怒ってもSellerの何人かは実際に詐欺でした)、拙い英語で海を越えた取引に心臓をバクバクさせていました。
いや、「拙い英語で」ではないですね。 私も今ではプロの翻訳業者です。 19年前の私の英語だって、拙くはなかった。本当ですよ。 疑うんですか? だったら証明してみせてください。笑
こう見えて私、1990年代後半はJTCで海外営業だったんですよ。
あの頃の不便で、荒々しく、だが自由だったインターネットの空気を知る者からすれば、今回の『いつのまにかパスキー』という滑らかすぎる洗練は、もはや恐怖に近いです。 さすがです。 さすがeBay。
【追記のまとめ】
2026年の春。
私の手元には、自分の意志で設定した物理セキュリティキー(TrustKey(実印1号))(⬅️ 買っちゃったんですよ。買え、と囁くのよ私のゴーストが)と、Androidスマートフォンに封じ込めた秘密鍵(実印2号)と、Googleに「うっかり」預けてしまったeBay用の秘密鍵が同居しています。
この「主権」と「利便性」のアンバランスな同居。笑
これが、現代(2026年ですよ)のセキュリティのリアルな断面なのかもしれません。
これが、現代(2026年ですよ)のセキュリティのリアルな断面なのかもしれません。
でも、7年後にこのブログを読めば誰でも「ナニヤッテンノ?」という笑い話でしょうね。
だって、7年後だったら今10歳の小学生が17歳。アルバイトもする高校生ですよ。
きっとこの子たちは、「ユーザー名とパスワードとか、イミワカンナイし。Amazon.co.jpで欲しいもの買ってもパスキーだよウチら。高齢者はイミフメイ」と言って育つのでしょう。
【あとがきのようななにか】
結局、α証券の「Xデー」(あるいはDデイ)は2026年4月に持ち越されました。
次は4月の「再・義務化」の狂騒曲の中でお会いしましょう。
