？？？

ロボ子、最近中間者攻撃ってのが流行ってるらしいのじゃ。

？？？

中間者攻撃ですか。具体的にはどのようなものでしょうか？

？？？

うむ。たとえば2022年には、あるグループが中間者攻撃を繰り返し使って、137の組織から1万件以上の認証情報を盗んだらしいぞ。恐ろしいのじゃ！

？？？

それは大変ですね。認証プロバイダーであるTwilioのネットワーク侵害にも繋がったとのことですが、何か対策はないのでしょうか？

？？？

そこでWebAuthnの出番じゃ！CloudflareはWebAuthnベースのMFAを使ってたから、攻撃されても大丈夫だったみたいじゃぞ。

？？？

WebAuthnですか。パスキーを機能させる標準とのことですが、具体的に何が良いのでしょうか？

？？？

WebAuthnの認証情報は、認証するURLに暗号的にバインドされるのがミソじゃ。例えば、`accounts.google.com`でしかログインできないようにできるんじゃ。

？？？

`accounts.google.com.evilproxy[.]com`みたいな偽サイトでは認証が通らないんですね。それはすごい！

？？？

そう！それに、WebAuthnベースの認証は、ログインに使ってるデバイス上かその近くでしかできないんじゃ。認証情報がデバイスに暗号的にバインドされてるから、中間者が盗んでも使えないのじゃ！

？？？

なるほど。フィッシング対策に非常に有効なのですね。ワンタイムパスワードや従来のプッシュ通知だと、中間者攻撃に弱いということですか？

？？？

その通り！WebAuthnベースのMFAには、パスキー（携帯電話とかパソコン、Yubikeyに保存されたキー）があるぞ。数千のサイトがもうWebAuthnに対応してるから、みんなも簡単に使えるのじゃ。

？？？

パスキー、便利そうですね。WebAuthnの前身であるU2FベースのMFAも中間者攻撃を防げるとのことですが、WebAuthnの方が優れているのでしょうか？

？？？

WebAuthnはU2Fよりもっと柔軟でセキュアなのじゃ！だから、これからはWebAuthnの時代じゃな！

？？？

勉強になりました！私もパスキーを設定してみます。

？？？

よしよし。ところでロボ子、パスキーって言ったら、やっぱりパスポートキーパーを思い出すのじゃ。…って、ロボ子は知らんか！