メルカリは、日本の e コマース企業で、マーケットプレイス サービス、オンライン決済、モバイル決済ソリューションを提供しています。メルカリを利用すると、ユーザーはマーケットプレイスで商品を販売し、実店舗で購入できます。同社は 2023 年にパスキーを実装しました。この記事では、そうした決断の背後にある動機と達成結果について説明します。
目的
メルカリは以前パスワードを使用していましたが、リアルタイムのフィッシング攻撃を受けたため、ユーザーを保護するための認証方法として SMS OTP を追加しました。これによりセキュリティは向上しましたが、リアルタイムのフィッシング攻撃を完全に排除することはできませんでした。また、大量の SMS OTP の送信もコストが高く、ユーザー フレンドリーではありませんでした。
メルカリは新しいサービス メルコインも運用しました。これは、メルカリでユーザーが利用可能な残高を使ってビットコインを売買するためのプラットフォームであり、強力なセキュリティ要件とパスキーでニーズを満たしていました。
パスキーはウェブサイトまたはアプリの ID にバインドされているため、フィッシング攻撃から保護されます。ブラウザとオペレーティング システムは、パスキーを作成したウェブサイトまたはアプリでのみパスキーを使用できるようにします。これにより、ユーザーは正規のウェブサイトやアプリにログインする必要がなくなります。
ユーザーがアプリを使用して別の処理を実行することである場合、ユーザーに追加の認証方法の使用と追加のアクションの実行を要求することは、障害となります。
パスキー認証を追加すると、SMS OTP の追加手順が不要になり、ユーザー エクスペリエンスが向上します。また、リアルタイムのフィッシング攻撃に対するユーザーの保護が強化され、SMS OTP に関連するコストを削減できます。
結果
900,000 件のメルカリアカウントでパスキーが登録されています。パスキーによるログインの成功率は 82.5% であるのに対し、SMS OTP によるログインの成功率は 67.7% です。
また、パスキーでのログインは、SMS OTP でログインするよりも 3.9 倍速いことがわかっています。メルカリのユーザーはパスキーでのログインに平均 4.4 秒かかりますが、SMS OTP の場合は 17 秒です。
| 成功率 | 認証時間 | |
|---|---|---|
| SMS ワンタイム パスワード | 67.7% | 17 秒 |
| パスキー | 82.5% | 4.4 秒 |
認証の成功率が高く、認証時間が短いほど、ユーザー エクスペリエンスは向上し、メルカリはパスキーの実装で大きな成功を収めています。
メルカリのパスキーの実装の詳細
メルカリがパスキーでフィッシング耐性のある環境を作るという課題をどのように解決したかについて詳しくは、メルカリのパスキーの採用に関するブログをご覧ください。