WindowsアップデートでFIDO2セキュリティキーの動作に変更
Microsoftは火曜日、2025年9月以降のWindowsアップデートをインストールしたユーザーに対し、FIDO2セキュリティキーでのサインイン時にPINの入力を求められる可能性があると警告しました。この変更は、特にWindows 11バージョン24H2または25H2を実行しているデバイスで、IDプロバイダーが認証中にユーザー検証を要求した場合に発生します。
この動作は、WebAuthn仕様に準拠するための意図的な変更であるとMicrosoftは説明しています。
WebAuthn仕様とPIN要求の背景
WebAuthn仕様は、PIN、生体認証、ハードウェアセキュリティキーなどの認証方法が、ユーザー検証の要求をどのように処理すべきかを定めています。ユーザー検証は、ユーザーが存在し、セキュリティキーを使用する権限があることを確認する重要なプロセスであり、通常はPINまたは生体スキャンを通じて行われます。
WebAuthn標準では、ユーザー検証が「preferred(推奨)」に設定されている場合、認証システムがユーザー検証をサポートしているならば、PINのセットアップを要求することになっています。この機能のサポートは、KB5065789プレビューアップデート後にすべてのWindows 11デバイスに段階的に展開され、11月のKB5068861セキュリティアップデートで完了しました。
Microsoftはサポートドキュメントで次のように述べています。「2025年9月29日 — KB5065789 (OSビルド 26200.6725 および 26100.6725) プレビュー、またはそれ以降のアップデートをインストールした後、PINが設定されていないFIDO2セキュリティキーでの認証中に、リライングパーティ (RP) またはIDプロバイダー (IDP) がユーザー検証を『Preferred』と要求した場合、PINの作成を求められることがあります。」
組織がPIN要求を回避する方法
セキュリティキーのPIN作成や入力を望まない組織やサービスの場合、WebAuthn構成設定でユーザー検証を「discouraged(非推奨)」に設定することで、このPIN要求を回避できます。Microsoftは、「認証フローにおけるPIN設定のサポートは、登録フローと認証フローの両方で一貫性を持たせるために追加されました」と補足しています。
FIDO2セキュリティキーの重要性
FIDO2セキュリティキーは、USB、NFC、Bluetoothトークンといった物理的なデバイスの所持を要求することで、パスワード不要の強力な認証を提供します。このテクノロジーは、フィッシング、資格情報盗難、その他のパスワードベースの攻撃を阻止するための効果的な代替手段として、世界中の組織でますます採用が進んでいます。