モチベーション

以前、メルカリはパスワードを使用していたが、リアルタイムのフィッシング攻撃に直面し、ユーザーを保護するための認証方法としてSMS OTPを追加した。 これによりセキュリティは向上したが、リアルタイムのフィッシング攻撃が完全になくなったわけではない。 また、大量のSMSワンタイムパスワードを送信することは、コストがかかり、使い勝手も悪かった。

また、メルカリは新サービスとして、メルカリの利用可能残高でビットコインを売買するプラットフォーム「メルコイン」を提供していたが、セキュリティ要件が厳しく、パスキーもニーズに合致していた。

パスキーはウェブサイトやアプリのIDにバインドされているため、フィッシング攻撃からも安全です。 ブラウザとオペレーティングシステムは、パスキーがそれらを作成したウェブサイトやアプリでのみ使用できることを保証します。 これにより、ユーザーは本物のウェブサイトやアプリにサインインする責任から解放される。

ユーザーに余分な認証器を使わせたり、追加のアクションを要求することは、ユーザーが実際にアプリを使って何かを成し遂げたいときに障害となる。

パスキー認証を追加することで、SMSワンタイムパスワードの追加ステップがなくなり、ユーザーエクスペリエンスが向上すると同時に、リアルタイムのフィッシング攻撃からユーザーを保護し、SMSワンタイムパスワードに関連するコストを削減することができます。

業績

900,000のメルカリアカウントがパスキーを登録しており、パスキーでのサインイン成功率は82.5%であるのに対し、SMS OTPでのサインイン成功率は67.7%である。

パスキーによるサインインは、SMSワンタイムパスワードによるサインインよりも3.9倍高速であることも証明されている。メルカリユーザーの平均所要時間は、パスキーによるサインインが4.4秒であるのに対し、SMSワンタイムパスワードによるサインインは17秒かかる。

認証の成功率が高く、認証にかかる時間が短ければ短いほど、ユーザーエクスペリエンスは向上し、メルカリはパスキーの導入で大きな成功を収めている。

メルカリのパスキー実装についてもっと知る

メルカリがフィッシングに強い環境を作るための課題をパスキーで解決した方法については、メルカリのパスキー採用に関するブログをお読みください。