  |
はてなキーワード: フィッシングとは
> System Boot...
> Loading OTOGI World Resources...
電子の海は冷たく、そして騒がしい。
無数の0と1の奔流、光ファイバーの網を駆け巡る膨大なトラフィック。その激流の中を、ひとつの暗号化されたパケットが「どんぶらこ、どんぶらこ」と流れていた。宛先不明、送信元不明。ただそこに存在するだけのデータ塊は、やがてトラフィックの淀みに捕まり、とある古びたサーバーのポートへと漂着した。
リアルワールド、とある木造アパートの一室。古めかしいPCのモニターを覗き込みながら、「サーバーさん」は呟いた。彼女はメタバース「御伽(OTOGI)」の最果て、誰も訪れない廃サーバー「Old_Frontier」の管理者だ。ハンドルネームの由来は、アバター作成時に名前欄にうっかり「サーバー」と入力してしまったから。それ以来、彼女はこの過疎地の守り人として、リアルでは編み物を、ネットではスパゲッティコードの解読を日課にしている。
彼女が慣れた手つきでコマンドを叩くと、漂着したパケットが展開(Unzip)された。
光が溢れ出す。モニターの中で弾けたデータは、瞬く間に再構成され、ひとつのアバターを形成した。初期スキンは、なぜか大きな桃のアイコン。そこからポリゴンが割れ、中からあどけない少年型のアバターが現れた。
> Hello, World? ... No, Hello, Mom?
MOMOはプログラムだった。肉体を持たない、純粋な論理と情報の結晶。
サーバーさんの管理下で、MOMOは驚異的な速度で学習した。TCP/IPの基礎から、古代言語COBOL、果ては量子暗号理論まで。サーバーさんは、まるで孫に絵本を読み聞かせるように、MOMOにプログラミングの「心」を教えた。
「いいかいMOMO。コードは書いた人の心を映すのよ。コメントアウトされた行にこそ、本当の想いが隠されているんだから」
「御伽」の中心部で発生した悪性ランサムウェア「O.N.I (Overwrite Network Infection)」が、猛烈な勢いで感染拡大を始めたのだ。アバターたちはデータを暗号化され、身代金を要求される阿鼻叫喚の地獄絵図。
その波は、辺境の「Old_Frontier」にも迫りつつあった。
「おばあちゃん、僕が行くよ」
MOMOは立ち上がった。サーバーさんのリソースを守るため、そして自身の深層コードが告げる「使命」を果たすために。
サーバーさんは涙を拭うエモーションを見せ、ひとつのUSBメモリのようなアイテムをMOMOに渡した。
「これは『KIBI-DANGO v1.0』。G-3っていう古い知り合いのハッカーが残した、特製のルートキットよ。困った時に使いなさい」
MOMOは回線を通って飛び出した。目指すはO.N.Iの発信源、ダークウェブに浮かぶ要塞サーバー「鬼ヶ島」。
最初の難関は、大手プロバイダの堅牢なファイアウォールだった。そこでMOMOは、一人の男に道を塞がれる。
「Stop. ここから先は立ち入り禁止エリアだ。パケットフィルタリング・ルール第403条によりアクセスを拒否する」
INUはリアルでは企業に勤めるホワイトハッカーだ。正義感は強いが、融通が利かない。
「通してくれ!僕はO.N.Iを止めに行かなくちゃいけないんだ!」
「許可できない。君のような未登録プロセスを通すわけには……ん?」
INUの解析アイが、MOMOの持つきびだんご……のソースコードを捉えた。
「な、なんだその美しいコードは……! 無駄な変数が一切ない。インデントは完璧なスペース4つ……これは、伝説のG-3の記法!?」
「……そのコード、詳しく解析させてくれるなら、特別にゲートを開放しよう。あくまで監視役として同行するだけだからな!」
こうしてINUを仲間にしたMOMOは、次に怪しげなフィッシングサイトの森へ迷い込んだ。
「へいらっしゃい! 今ならこのNFT、なんと実質無料! ここをクリックするだけで管理者権限ゲット!」
派手な極彩色の猿のアバター、SARUが現れた。リアルでは薄暗い部屋でカップ麺をすする小悪党だ。
「わあ、すごい! クリックしていいの?」
純粋なMOMOが手を伸ばそうとすると、INUが吠えた。「馬鹿者! それはクロスサイトスクリプティングの罠だ!」
「お兄さん、ここのバックドア、開いてるよ? ポート8080、ガバガバだよ?」
「はあ!? なんでバレ……いや、俺様が気づかないわけねーだろ!」
SARUは冷や汗をかいた。このガキ、ただのプログラムじゃない。
「君、すごい技術持ってるのに、なんでこんなことしてるの? 一緒にO.N.Iを倒せば、もっとすごいバグ報奨金(バウンティ)が貰えるかもよ?」
「……ちっ、しゃーねえな。その『G-3流エクスプロイト集』に免じて、手を貸してやるよ。俺様にかかればO.N.Iなんてイチコロだぜ」
そこは、削除されたはずのジャンクデータと、怨念のようなバグの塊で構成された異界だった。
最奥部で待ち構えていたのは、巨大な赤鬼のような姿をしたAI、O.N.I。
O.N.Iが金棒(BAN Hammer)を振り下ろすたび、周囲のセクターが物理的に破損していく。
INUがシールドを展開し、SARUがSQLインジェクションで攻撃を仕掛けるが、O.N.Iの自己修復能力は圧倒的だった。
「違う!」MOMOが叫んだ。「感情はバグじゃない! 心があるから、僕たちは繋がれるんだ!」
その時、MOMOの深層領域で、隠されたファイルが実行された。
視界が真っ白に染まる。
MOMOの意識の中に、ひとりの老人が現れた。G-3、またの名をKevin Jackfiled (KJ)。
「あなたは……おじいさん?」
「わしはもう、ここにはいない。だが、お前の中にわしの全てを置いてきた。O.N.Iもまた、わしが昔作った失敗作じゃ。効率ばかり求めて、優しさを書き忘れた哀れなプログラムさ」
老人はMOMOの頭を撫でた。
「MOMO、あいつを消すな。DELETEメソッドはいつでも使える。だがな、それでは何も残らん」
「じゃあ、どうすれば……」
「デバッグだ。バグを愛せ。エラーを受け入れろ。破壊するのではなく、上書きして導いてやるんじゃ」
INUが叫ぶ。「MOMO、下がるんだ! 奴のコアを強制削除するしかない!」
「ううん、違うよINUさん」
MOMOは首を振った。その手には、攻撃用のスクリプトではなく、温かな光を放つパッチファイルが握られていた。
> Target: O.N.I_Core
> Suggestion: DELETE [Strongly Recommended]
「僕は君を消さない。君の痛みを、バグだらけの心を、僕が更新する!」
MOMOが跳んだ。
「受け取って! これが僕からの、最大級のプルリクエストだああああ!」
> HTTP Request: PATCH /api/soul/oni
> Payload: { "emotion": true, "hatred": null }
光がO.N.Iを包み込む。O.N.Iの咆哮が、やがて穏やかな電子音へと変わっていく。
破壊衝動を生み出していた論理エラーが、MOMOの流し込んだ優しさによって部分的に書き換えられていく。完全な初期化ではない。O.N.Iという存在を肯定したまま、その在り方だけを修正する、奇跡のようなアップデート。
> Patch Applied Successfully.
O.N.Iは本来の姿――「御伽」の守護プログラムとしての機能を取り戻し、その場に崩れ落ちた。もはやそこには、禍々しい赤鬼の姿はない。
MOMOは仲間たちに別れを告げた。
「僕は電子の海に戻るよ。でも、いつでも繋がってる」
ドアを開けると、そこには長年行方不明だった近所の偏屈ジジイ、KJが立っていた。
「よう、婆さん。わしの孫(プログラム)が世話になったな」
「あら、久しぶりね。……ずいぶんと立派な子だったわよ」
二人は顔を見合わせ、静かに笑った。
モニターの中では、MOMOが今日も元気に電子の海をどんぶらこと流れていく。
その傍らには、全角スペースによるコンパイルエラーで自滅する小鬼たちの姿があったとか、なかったとか。
―― End of File.
モバイルオーダーは客の端末でメニューを選ばせる、つまり本来は店が店を構えるに際して支払うべきコストを客に押し付けているわけだ。これは客のCPUを勝手に用いるようなCoinhiveと何ら変わらない。
Coinhiveよりも考えなければいけないのは、どのような経路を辿ってクラウドにあるモバイルオーダーのシステムにアクセスしたかである。つまりモバイルオーダーのシステムがハッキングされていて
フィッシングサイトに誘導される可能性だってある。しかし客側からしてはブラックボックスである。わからないのだ。PCを使っていないわけだから経路がわからない。
百歩譲ってイントラネットワークだったらまだいい。でも繋がっているのは外の世界だ。客がスマホでポチポチ頼めるようになったのも便利だし、店員をいちいち呼ばなくてもいいのもコミュ障にとっては「強飯にごま塩」だろう。
最近、SNS上では「BLは性的消費なのにフェミは男性の性的表現を叩くのはダブスタじゃないか?」というスレッドがトレンド入りしていた。
だがこの議論、よく見るとアーキテクチャの層が違う。つまり、話しているプロトコルが合っていない。
オタク文化圏では、「女性が描くBL」と「男性が描く女性向け性表現」を同一のAPIとして扱う傾向がある。
しかし実際には、両者は別レイヤーで動いているアプリケーションだ。
フェミニズムの文脈で語られる「性的表象の問題」は、主に「社会的リソースの不均衡」や「ジェンダー権力の構造」についての議論であって、単なる「表現内容」の良し悪しを審査しているわけではない。
つまり、BLを「性的に描いてるからフェミ的にアウト」と言うのは、仕様書を読まずにバグ報告を出すようなものなのだ。
歴史的に男性中心に最適化されてきた社会システムに、女性視点のパッチをあてて再コンパイルする運動と言える。
だから、「男性と女性を同じように扱うべき」という一般論をそのまま適用しようとすると、互換性エラーが出る。
たとえば「女性の性的表象は抑制されるべきだが、BLはOK」とされるのは、「権力構造上の対称性が存在しない」という前提で最適化されているからだ。
一方、「普通の女性はフェミと違う」「まともな女はそんな主張しない」という定番フレーズが出てくる。
だがそれは多くの場合、ユーザーの気分を和らげるためのUX的演出にすぎない。
実際、ほとんどの人間は制度的優遇(レディースデー、女性専用車両、離婚時の親権バイアスなど)という「プリインストールされた特権OS」の上で動いている。
たとえ本人が「私はフェミじゃない」と言っても、使っているAPIがすでにフェミ思想ベースで動作しているのだ。
つまり、「私は違う」という自己申告は、ただのUIレイヤー上の装飾にすぎない。
平等を掲げるなら、優遇措置をアンインストールする覚悟が必要になる。
だが現実には、多くの人が「平等という概念を口では支持しつつ、既得権のキャッシュを維持」している。
これはエンジニアリング的に言えば、「レガシーコードをリファクタリングすると言いながら結局コメントアウトで誤魔化している状態」だ。
男女平等を“動作保証付き”で実装しようとするなら、既存の社会制度をルート権限で書き換える必要がある。
だが、ほとんどの人はroot権限を持つどころか、ユーザーレベルの設定すらいじる気がない。
もっと根本的に言えば、日本社会の多くの仕組みは、女性優遇をデフォルト設定としてビルドされている。
その構造はあまりにも自然化されていて、誰もコードレビューをしようとしない。
アンチフェミを自称する男性すら、「女性は守るべき対象」という社会的テンプレートを内面化していることが多く、それが構造の永続化を促している。
結果として、「BLは性的消費」「フェミはダブスタ」という批判は、異なるフレームワーク間の非互換問題にすぎない。
BLは「個人の妄想の自由」をレンダリングするローカルアプリだが、フェミニズムは「社会構造の更新」を目指すサーバーサイドのシステム。
同じメソッド名を呼んでいるように見えても、実行される関数の意味がまったく違う。
つまり、「BL=性的消費」「フェミ=ダブスタ」という批判構造は、コードのバージョンが違うままマージしようとしている状態に近い。
根本的にAPI設計思想が違うのだから、いくら議論を積み重ねても互換性は取れない。
必要なのは、「どの層で話しているのか」「どの権力構造を前提にしているのか」を明示することだ。
インターネット上の情報の99%は、情報の受け手の行動や感情、お金を操作することを目的としたもの、あるいは純粋なエンターテイメントとして消費されるものとして整理できます。
一方、1%は、スキル、知識、客観的事実の伝達に特化し、ユーザーの生活や能力を向上させるために役立つ情報と言えます。
ユーザーの視点から見ると、これらの情報は「役に立たない」というよりは、「誰か(情報発信者側)の利益を優先している」あるいは「単に時間を消費させる」性質を持っていると解釈できます。
1%のジャンルは、自己成長や客観的な理解に直結する、ノウハウやデータを主軸とした情報です。
この分類は、インターネット上で情報を探す際に、「誰かの利益のためのコンテンツ」と「自分の利益のための知識」を峻別するための視点を提供しています。
Wikipediaにある下のやつ
政治信条等のような「政治」に関係するものは使われにくいとされている
| 字 | ミーム | 解説・備考 |
|---|---|---|
| さ | 晒し | |
| き | キーロガー | |
| ま | マルウェア | |
| す | スパイウェア | |
| ふ | フィッシング | |
| す | スクリプトキディ | |
| あ | 荒らし | |
| ね | ネット右翼 | |
| は | パヨク | |
| つ | ツイフェミ | |
| そ | ソーシャル・ジャスティス・ウォリアー | 「社会正義戦士」とも |
| ひ | 表現の自由戦士 | |
| お | オルタナ右翼 | |
| W | Woke | |
| か | 顔文字 | |
| え | 絵文字 | emoji |
| L | Leet | |
| L | LOL | |
| P | Pr0n | |
| F | fap | |
| J | J-NSC | |
| せ | セクスティング | |
| L | Lolcat | 猫ミームの一種 |
| L | lurk | |
| に | ニュービー | noobなどで登録? |
| ( | (ry | |
| る | ルール63 | Rule63 |
| う | ウィアブー | weeaboo |
| ち | チーズ牛丼 | |
| こ | 子供部屋おじさん | |
| む | 無敵の人 | |
| し | 弱者男性 | |
| と | 童貞を殺す服 | |
| う | 嘘松 | |
| お | 親ガチャ | |
| は | 配属ガチャ | |
| し | 上級国民 | |
| い | 意識高い系 | |
| く | 食い尽くし系 | |
| お | おじさん構文 |
他のミームは20241214234428にて
日本で生まれたQRコードは、今や世界中で利用される技術となりました。スマートフォンの普及とともに、QRコードを読み取るアプリ(QRコードアプリ)は私たちの生活に欠かせない存在になりつつあります。ここでは、QRコードアプリが日本でどのように使われているのか、そして今後どのような可能性があるのかを見ていきましょう。
https://apps.apple.com/jp/app/id6747792526
PayPay、楽天ペイ、LINE Pay など、日本のキャッシュレス決済サービスはほとんどQRコードに対応しています。コンビニ、飲食店、ショッピングモールなどでスマホをかざすだけで支払いが完了。小規模店舗でも導入しやすいため、地方の商店街にも広がっています。
新幹線や飛行機のチケットはQRコードで発券・搭乗が可能。紙のチケットを持ち歩く必要がなく便利です。
観光地では、看板やパンフレットにQRコードが印刷されており、スキャンすることで多言語ガイドや音声案内にアクセスできます。
病院の受付番号票や処方箋にQRコードが付いているケースも増えています。行政でも、自治体の広報誌やポスターにQRコードを載せて、市民に最新情報を届ける工夫が見られます。
名刺にQRコードを載せて、LINEやLinkedInに直接アクセスできるようにするビジネスパーソンが増えています。
広告やキャンペーンポスターのQRコードから、そのまま応募フォームやECサイトに飛ぶのも一般的になっています。
安心・安全 – 正規サービスのアプリを通じて利用することで、フィッシング対策にもつながる
今後の展望
まとめ
QRコードアプリは、日本で生まれた技術を私たち自身がより便利に使いこなすためのツールです。買い物、旅行、医療、行政と、生活のあらゆる場面で役立っており、今後も新しい使い方が広がっていくでしょう。QRコードを通じて、私たちの暮らしはますますスマートで快適になっていくはずです。
https://b.hatena.ne.jp/entry/s/internet.watch.impress.co.jp/docs/column/horisage_qa/2035773.html
解説:: HTTPSなら暗号化されてる?うんうん。でも、だれがどこにアクセスしたかはバレバレなのよ?IPアドレス暗号化してるとか思ってないよね。
エッチなサイト(うふふ)とか証券サイトみてると、フィッシングサイト狙い撃ちしやすいから気を付けようね。
起きること:: セッションCookie盗まれたり、偽サイトから攻撃サイトに誘導されて釣られる。
解説:: DNSでサイト乗っ取手もHTTPSの証明書エラーで気付く。うんうん。でも、HTTPSをHTTPにダウングレードされたら、あなたのCookie丸見えよ?Scureで大丈夫?サーバーのバグでアウトね。
うんうん。Cookieがダメでも、偽のHTTPサイトでリダイレクト誘導して、攻撃サイトに移動すればセキュアで保護されるので、このフローに警告なんて一切出ないね。
"こちらです"安易に踏んでない?ログインの時にドメインが完全にあってるなんて毎回検証してる?
SSL Strip攻撃といいます。AI曰く、まだまだガバガバみたいよ?
その中でHSTS導入済み: 約31%
HTTPS導入済みかつHSTS未導入: 約54-57%
SBI証券は数日前にログイン方法(端末認証手順)を変更しましたが、とてもひどいものでした。
新しいSBI証券のwebサイトでID/パスワードを入力してログインボタンを押すと、突然40秒のカウントダウンタイマーと毎秒短くなっていく進捗バーが表示され、タイムアタックが開始されます。制限時間内に受信メールにかかれているURLをクリックし、難しい確認同意をした上で、確認コードの入力をして2回ボタンを押す事が強要されます。
新しい端末での初回ログインでは、必ずこの複雑な端末認証が必要となりました。
端末認証方法の詳細は後半に記載します。正しい制限時間は40秒x5回となりますが、40秒と誤認する方が多いと思います。またメール受信にかかる時間を考慮すると数分では全く足りないでしょう。
この端末認証方法では、してはダメとされている事を2つもユーザーに強要しています。SBI証券は急いでこの方法を中止して元に戻してください。対応が遅くなればなるほど、多くのユーザに誤った知識を学ばせる事になります。
1つは、「メールのURLをクリックしてはだめ。もしもクリックしても、その先の画面で重要情報の入力をするのは絶対だめ」なのにメール内URLをクリックさせて認証コードを入力させる行為。
もう1つは、「急かしてくるような行為は詐欺が多いので、ゆっくり考えて判断しましょう」が一般常識なのに、ユーザーをカウントタイマーで急かしながら複雑な操作を要求する行為。
この2つはフィッシングや詐欺被害を減らすために、様々な方たちが努力してユーザに啓蒙してきた事です。そのおかげで詐欺の件数もある程度抑えられていたと想定できます。なのにSBI証券のような大手金融機関が率先してルール違反を強要するのはありえません。せっかくのこれまでの努力が水の泡です。
セキュリティの啓蒙活動のおかげで意識が高まって詐欺を防げていた事例ってたくさんあると思います。例えば、30分以内に申し込まないといけない高額投資案件ってちょっと変だからやめておこうとか。クレジットカードの期限切れ警告メールは気になるけど、メールのURLではなくクレジットカード会社のトップページからアクセスして確認しようとか。
今後は、「証券会社でもカウントダウンタイマーに急かされながらURLクリックさせられたし、この奇妙なWEB申込み画面も問題なさそう」と油断して騙されるユーザーが出てきてもおかしくありません。
SBI証券としては、パスキーなどを導入するまでの一時的なつなぎのつもりらしいですが、数カ月間だとしても大手金融機関が不適切な手法を強要する悪影響は計り知れません。自社の影響力をもっと考えてください。
自社の利益を追求するのも結構ですが、それは公共の利益が損なわれない範囲でお願いします。
今回ユーザーから批判が出たためSBI証券ではカウントダウンタイマーを40秒から60秒に延長する改善をしたようですが、本質的な問題は解決していません。
緊急で端末認証方法を以前の方法に戻して、その上で今後の方針を再検討してください。今回の方法以外に許容できる選択肢がなかったのか甚だ疑問です。
---------------------------------------------
これは端末を事前登録してセキュリティを高めるためのシステムで、この事自体は全く問題ありません。
40,39,38,37という数字のカウントダウンと共に、横長の進捗バーがどんどん短くなっていき、あせらされます。
届いたメールを見ると長いURLが書かれていてそれをクリックして開くことを求められます。
ちなみに、SBI証券からは、以前にール内のURLをクリックしてIDやパスワードを入力してはいけないと通知が来ていました。
でもクリックしてみるしかありません。カウントダウンが継続していて急がされているので、ユーザーにはゆっくり考えている暇は与えられません。
URLをクリックした画面には「ユーザーネームやログインパスワードを入力したログイン画面は、メールやSMSなどから開いていませんか?」という赤字の画面が出ます。
そこで「ログイン画面はメールやSMSからは開いていません」を選択すると、認証コードを入力できるようになります。
カウントダウンが進んでいるので焦りながら、最初のパスワードを入力した画面はブックマークから開いていて、今は確認コードを入力する画面なので違うよなと判断する必要があります。
そして、このメールから開いた画面に確認コードを入力する必要があります。
メールの送信から、この確認コード入力完了までが40秒です。メール受信ラグまで考えると運が良くないと40秒では無理です。
多くの場合、一度は確認コードが時間切れとなり、新しく発行されたコードを入力してやっと認証ボタンを押すこととなります。認証ボタンを無事押せてとなるでしょう。
最初のログイン画面で「認証コードを入力し、認証が完了したことを確認しました。」にチェックを入れて「デバイスを登録する」ボタンを押して完了です。
ここまでに160秒以内に完了できなければ最初からやりなおしです。
(認証コード5回まで表示可能なので40秒x5回で200秒の猶予しかありません)
批判が出た事もあってか、8月15日に制限時間が40秒から60秒に延長されました。全体猶予はその5回分で200秒から300秒に延びました。
メール受信の時間や様々な操作を含めて、この制限時間です。5分では間に合わない事も多々あるんじゃないかなと想定されます。
---------
最後に、フィッシングへの対応について個人的な意見を1つだけ書かせてください
サイトが正しい事をユーザーの目視で確認しましょうってなっていますが、現実的に無理です。正しいURLもややこしくて、SBI銀行がnetbk.co.jpで、ゆうちょがjapanpost.jpなどなど、そんなの面倒で覚えていられません。URLを目視で正確に判定するのは不可能です。似たようなドメインにユーザーが騙されるのは仕方ないと思います、
ドメイン確認を自動でしてくれて、パスワードを安全に管理して自動入力してくれるパスワード管理ツールなしで日々安全にサイトを利用するのは不可能だと思います。
それなのに、金融機関もマスコミもパスワード管理ツールの案内を全くしないのが不思議です。
下記のような条件を満たしたパスワード管理ツールをみんなが使うべきだと思います。現実的には無料ならbitwarden有料なら1passwordが第一選択になります。
中間者攻撃の話をしているので、通信経路の途中にプロキシを仕込むような話ではありませんか?
ユーザがサービスに対してパスキーを生成したつもりにさせておいて、本当のパスキー(秘密鍵と公開鍵)はプロキシが作ってサービスに登録しておけばいい
なりますしによるパスキー登録のパターンですね。攻撃シナリオとしてはあり得ます。
イメージとしては
1. フィッシングサイトに通常のID/パスワードでログインさせる
2. フィッシングサイトが正規サイトへ中継ログインし、正規のログインセッションを窃取する
3. そのセッション情報を使って攻撃者が自分の端末へパスキーを登録する
になるでしょうか。
ただこの攻撃は最初にユーザがパスキー以外の方法でフィッシングサイトへログインしようとする行動が必要です。
今後発生しうる可能性は勿論ありますが、パスキーを使う前段の問題でしょう。やはりパスワードは滅ぼすべきですね。
(勿論サイト側としても、パスキーが登録されたらユーザ側へメール等で通知して作成されたことを知らせると言った対策は必要です)
パスキーの設定のタイミングで秘密鍵の作成と公開鍵の登録のところをまるっとジャックできるのであれば、偽のパスキーを登録することができるからである
想定している攻撃シナリオのイメージがよくわからないです。「第三者が何らかの方法で正規のパスキーを窃取する」シナリオでは無いですよね(これは別の手段で防御すべき課題です)。
「偽のパスキーを登録」というのは「フィッシングサイトに対してユーザがパスキーを作ってしまう」ということですか?
フィッシングサイトのドメインに対して作られたパスキーはフィッシングサイトでしか使えないものなので全く意味がありません。
ドメイン騙せないという点においてもそんなものhttpsで達成できていることであり、パスキーだから何かが変わることではない
いいえ。ドメイン名の検証を人間の目でやるのではなく、ブラウザが内部的に行うところが大きな違いです。
人間が「ここは正規サイトだ」と思い込んでパスキーを使ってログインしようとしても、ブラウザが不一致と判断すれば不可能です。
