はじめに
お久しぶりです、マネーフォワード ID 開発チームの @nov です。
Vol.8 以降、iOS・macOS の新バージョンがリリースされ、Windows 10 の時代は終焉を迎え、Android での Passkey Auto Upgrade が動き出し、パスキーによるアカウント登録も開始されました。
それらの影響も見えてきたことですし、この辺りでそろそろパスキー利用状況レポートを更新しようと思います。
パスキー登録状況 @ 2025 Nov.
では、恒例の数字を見ていきましょう。
2025年11月現在、マネーフォワード ID には全部で約 2,350,000 個のパスキーが登録されています。
- Vol.3 時点では 320,000 個
- Vol.4 時点では 750,000 個 (+430,000)
- Vol.5 時点では 1,150,000 個 (+400,000)
- Vol.6 時点では 1,185,000 個 (+35,000)
- Vol.7 時点では 1,450,000 個 (+265,000)
- Vol.8 時点では 1,800,000 個 (+350,000)
と推移してきています。
OS 毎の内訳は以下の通りです。
| OS | 全体に占める割合 (前回 → 今回) |
|---|---|
| iOS | 68% -> 68% |
| Android | 16% -> 17% |
| macOS | 7% -> 7% |
| Windows | 7% -> 7% |
Vol.8 時点から、こちらの比率に大きな変化はありません。
パスキー利用状況 @ 2025 Nov.
OS 毎に、全登録済パスキーのうち実際に認証に利用された割合も見ていきましょう。
| OS | 実際に認証に使った割合 (前回 → 今回) |
|---|---|
| iOS | 49% -> 58% |
| Android | 60% -> 61% |
| macOS | 62% -> 63% |
| Windows | 45% -> 44% |
Vol.5 で紹介した ASWebAuthenticationSession のバグが iOS 18.4 で修正された影響で、前回に引き続き iOS での実際に利用されたパスキーの割合が上昇しています。
プラットフォーム毎のパスキー利用状況 @ 2025 Nov.
次に、前回同様プラットフォーム毎のパスキー利用状況を見てみましょう。
| OS | ログイン手段にしめるパスキーの割合 (前回 → 今回) |
|---|---|
| iOS | 40% -> 45% |
| Android | 20% -> 26% |
| macOS | 21% -> 28% |
| Windows | 1.6% -> 2.6% |
iOS に限っては ASWebAuthenticationSession のバグ修正の影響もありますが、iOS・macOS ともに Safari 26 からパスキー登録済のケースでは以前よりさらにパスキーの利用を強力に促すような UI に変わったため、iOS・macOS でのログイン手段に占めるパスキーの割合が上昇しています。Android・Windows についても、順調に数字は伸びてきています。
半年間での変化
Safari 26
前述の通り、Safari でのログイン手段にしめるパスキーの割合が拡大傾向にあります。
iOS・macOS ともに、まだ Safari 26 の普及率がそれぞれ 20%・10% 程度なので、全体として見ればまだそこまで大きな影響を及ぼしてはいませんが、iOS Safari 26 ではこの数字が 55%、macOS Safari 26 に至っては 66% と急激に上昇しています。
この影響は、今後数ヶ月にわたって最新 OS が普及していくにつれ、全体の数字に反映されていくことでしょう。
Safari 26 ではパスキーによるログインが全体の半分を超えただけでなく、パスワードによるログイン (グラフ中 password + email_otp) が iOS で 33%、macOS で 26% と減ってきており、順調にパスワードを無効化する準備が整ってきています。
Passkey Auto Upgrade
Passkey Auto Upgrade に関しては、ブラウザ・OS ごとに状況が異なります。
Safari では、前述の通り Passkey Auto Upgrade によるパスキーの増加ペースが一段落し、Passkey Auto Upgrade サポート開始直後に 30% 超あった CVR も、現在では 6% ほどに落ち着いてきています。
一方、v136 から Passkey Auto Upgrade がサポート開始されたはずの Chrome では、長い間 CVR が 0.2% 程度とまともに動作していない状況でしたが、v142 からその数字は改善を見せてきています。現在では Chrome 全体での Passkey Auto Upgrade CVR は 1.3%、Android Chrome に限れば 4.0% ほどです。
また Edge で Passkey Auto Upgrade を呼び出すと Edge がクラッシュするバグも、Edge v140 で修正されています。(Passkey Auto Upgrade 自体は動作しません)
ブラウザ・OS ごとにサポート状況や CVR に差はありますが、Passkey Auto Upgrade により安心して着実にパスキー登録が増やせる状況は整ったと言えるでしょう。
Windows 10 EOL
2025年10月をもって、Windows 10 のサポート期限が終了しました。日本国内でもこの数ヶ月順調に Windows 11 の比率が増えています。
それに伴って、マネーフォワード ID ではしばらくパスキープロモーションの対象外としてきた Windows に対して、久しぶりにプロモーションを再開しました。
その影響もあり、1% ほどではありますが、ログイン時にパスキーを利用する割合も増加しています。
なお、Windows におけるパスキープロモーションの CVR 自体は、依然として低いままです。
Sign-up w/ Passkey
この半年の間で最も大きな変化は、アカウント登録時にパスワードではなくパスキーを登録させるようにしたことでしょう。
現時点ではフォールバックとして「代わりにパスワードを設定する」というリンクも設置しており、後述のように対象 OS・ブラウザも限定しているので、すべてのユーザーがパスキーによるアカウント登録を行っているわけではありませんが、この画面に訪れた 70% ほどはパスキー登録に成功しています。
パスワードによるアカウント登録に流れるユーザーも含めれば、この画面の通過率は 95% ほどで、パスワードでの登録のみを促していた頃と比べても、全体の登録 CVR に悪影響はありません。
現在この施策により、マネーフォワード ME の新規ユーザーに関しては、パスワードを登録しているユーザーは既に 10% を切っています。
登録ユーザー全体で見ても、パスワードを登録しているのは 30% ほどです。
B2B 向けサービスでは自らアカウント登録をするのではなくテナント管理者に招待されるユーザーも多く、そのケースにおいてはまだパスワードの初期設定を促すフローとなっているため、まだ新規ユーザー全体で見ればパスワードを登録しているユーザーも多いのですが、B2C サービスにおいてはパスワードによるアカウント登録は最もマイナーな手段となっています。
ps. Windows ではパスキープロモーションにおいてもパスキー登録 CVR が極めて低いため、パスキーによるアカウント登録に関しては全プラットフォームの Safari と Android Chrome のみを対象としています。 また iOS と Android を比較すると、パスキー登録 CVR で 15%、パスキー登録画面の通過率でも 10% 弱、iOS の方が良い数字を出しています。iOS に限って言えば、パスワードでの登録よりもパスキーでの登録の方が CVR が高いほどです。
最後に
Safari 26 でのパスキー利用率の急激な上昇、Chrome での Passkey Auto Upgrade CVR の改善、パスキーでのアカウント登録の順調な滑り出しと、マネーフォワード ID では着々とパスキーの利用が拡大し、パスワードの利用が縮小しています。
NIST SP 800-63-4 で、単一要素としてのパスワードの最低長が8文字以上から15文字以上と大きく拡大されましたが、これは言うなれば「人間の脳にパスワードを生成・記憶させるのをやめなさい」という隠なるメッセージであり、我々が本当にすべきことは、ユーザーにパスワードマネージャーの利用を促すことでしょう。
それはつまり、パスキーの利用を促すことでもあり、パスワードマネージャーに優しくない仕様 (e.g., 支店番号・口座番号・パスワードの3点入力、ログイン用パスワードと取引用パスワードの併用など) を廃止していくことでもあります。
昨今の証券サービスでの被害拡大により、証券業界では一気にパスキーの採用が広まっています。当然今回の事案で資金力を得た攻撃者は、その資金力でより洗練した攻撃ツールを構築し、証券のみならず銀行や EC サイトなども攻撃してくることでしょう。
一方で、1口座に1つしかパスキーが登録できなかったり、1つパスキーを登録したら他の端末でも強制的にパスキーでのログインを必須化したりして、iOS ではログインできるが Bluetooth 非搭載の Windows ではログインできなくなるなど、嫌われるパスキーに見られるようなネガティブな反応が一部証券でも発生しています。
パスキーの採用と、パスワードの削減を、ユーザーに嫌われない形で実現していくべく、このレポートもその一助になれば幸いです。
-- @nov
