[https://www.youtube.com/watch?v=7Xec1wSEfg8:embed:cite]

海外出張中のホテルで発生したWi-Fiハッキング事件を題材に、サクラ先輩とモモちゃんが最新のセキュリティ対策を解説します。偽Wi-Fiによる中間者攻撃の手口や、ワンタイムパスワード（OTP）さえも突破される「リアルタイムフィッシング」の脅威、そしてそれらを防ぐ最強の切り札である「FIDO（WebAuthn）」と「パスキー」の仕組みについて、漫画形式で楽しく学べる内容です。 本動画で理解を深めるべき重要なキーワードとして、まずは攻撃の手口である中間者攻撃（Man-in-the-Middle）とDNS偽装が挙げられます。これは攻撃者が正規のSSIDと同じ名称の偽アクセスポイントを設置し、さらにDNSのAレコードを操作することで、被害者が正しいURLを入力しても攻撃者の用意した偽Webサーバへ誘導してしまう手法です。この際、Webサービス側でHSTS（HTTP Strict Transport Security）が未実装だと、ブラウザの通信が暗号化されていないHTTPにダウングレードされ、警告が出ないまま偽サイトへ接続してしまう危険性があります。また、多くの人が信頼しているワンタイムパスワード（OTP）も、実はこの攻撃に対して万能ではありません。攻撃者がユーザーとサーバの間に介在している場合、ユーザーが偽サイトに入力したOTPは即座に正規サーバへ転送され、認証が突破されてセッション（アクセストークン）を奪われてしまうからです。こうした脅威への根本的な解決策となるのが、FIDO（WebAuthn）という認証技術です。これはパスワードなどの「文字列」を送るのではなく、公開鍵暗号方式を用いてデバイスの所持を証明する仕組みです。利用者は事前に秘密鍵と公開鍵のペアを生成し、公開鍵のみをサーバに登録します。認証時にはサーバから送られる「チャレンジ（乱数）」に対し、デバイス内の秘密鍵で署名して返す「チャレンジ＆レスポンス」方式を行いますが、ここで最も重要なのがオリジンバインディングという機能です。これはブラウザが「現在見ているドメイン（オリジン）」の情報を自動的に署名データに含める仕組みで、もしユーザーが偽サイト（異なるオリジン）で認証操作を行っても、サーバ側で情報の不一致が検出され必ず認証が失敗します。つまり、人間が偽サイトに気づかなくてもシステムが防御してくれるのです。現在は、このFIDOの技術を基盤にしつつ、鍵をクラウド経由で同期して利便性を高めた「パスキー」が普及しており、セキュリティ対策の新たな標準となっています。