ユーザー名が消える日――ウォレット認証がログインの常識を変える

「ユーザー名はもう終わる」と言われ続けて10年以上が経つ。生体認証、シングルサインオン、パスワードレス認証。どれも「次世代のログイン」として注目を集めたが、決定打にはならなかった。しかし今、Web3のエコシステムからまったく異なるモデルが姿を現しつつある。企業のサーバーに保存された文字列ではなく、暗号鍵のペアに根ざしたアイデンティティだ。1960年代のMITのコンピュータ以来、デジタルの身分証明の基本単位であり続けたユーザー名が、いよいよ存続の危機に直面している。

これは大げさな話ではない。ユーザー名とパスワードの仕組みは、純粋な慣性によって60年間生き延びてきた。二要素認証やパスワード管理ツール、生体認証のショートカットで補強されてきたが、その根本――「ユーザーとサーバーが秘密を共有する」という仕組み――は破綻している。問題の核心は、新しい技術が出てきたことではなく、古い仕組みがもはや機能していないという現実にある。

なぜパスワードの仕組みは壊れているのか

数字が物語っている。ダークウェブ（闇のインターネット）で入手可能なユーザー名・パスワードの組み合わせは240億件以上。盗まれたアカウント情報を使って他のサービスに不正侵入する「クレデンシャルスタッフィング攻撃」は、主要サービスのログイン試行の大部分を占めている。長年にわたるセキュリティ教育にもかかわらず、多くの人が複数のサービスでパスワードを使い回している。

問題は人間の怠慢ではなく、仕組みそのものの構造的な欠陥だ。ユーザー名とパスワードは、人間が認知的に不得意なことを要求する。何十もの複雑でランダムな文字列を生成し、覚え、管理することだ。パスワード管理ツールは管理の問題を解決するが、「ひとつのカゴにすべての卵を入れる」リスクを生む。LastPassの情報漏洩事件が示したように、管理ツールが破られれば、保護していたすべてのアカウントが一度に危険にさらされる。

二要素認証はセキュリティの層を追加するが、根本的な問題は解決しない。サーバーに保存された「共有の秘密」は依然として存在し、サーバーがハッキングされれば漏洩する。古い仕組みを改良しているだけで、本質を変えてはいないのだ。

ウォレットが開く新しいログインの形

ウォレットを使った認証は、根本的に異なる原理で動く。従来の仕組みではサーバーと秘密を「共有」するが、ウォレット認証ではユーザーが暗号鍵のペアの「所有権」を証明する。秘密鍵はユーザーの手元から離れない。サーバーは盗まれるような秘密を一切保存しない。

仕組みはこうだ。サービスがユーザーに「このメッセージに署名してください」と提示する。ユーザーのウォレットが秘密鍵でメッセージに署名する。サービスがウォレットの公開鍵で署名の正当性を検証する。認証完了。パスワードは送信されない。サーバーに保存される秘密もない。盗まれうる「共有の秘密」が存在しない。

この仕組みが排除する攻撃は、一カテゴリまるごとに及ぶ。クレデンシャルスタッフィングは不可能になる。流用すべき情報がそもそもないからだ。サーバーのハッキングで認証情報が漏洩することもない。サーバーが持っているのは公開鍵だけであり、公開鍵は名前の通り公開されていて構わないものだ。フィッシングのリスクも軽減される。偽サイトにパスワードを入力するのと、メッセージに署名するのとでは性質が異なり、署名インターフェースはどのサイトに対して何を承認しているかを明示するからだ。

Sign-In with Ethereum（SIWE）はこのパターンを標準化しており、暗号資産に限らないサービスでも採用が広がっている。コンテンツプラットフォーム、ゲーム、SNSが従来のログインと並行してウォレット認証を組み込み、旧来のモデルから暗号鍵モデルへの移行路が生まれつつある。

ENS――人間にも読めるウォレットの名前

ウォレット認証に対する最大の反論は「使いにくさ」だ。0x7a250d5630B4cF539739dF2C5dAcb4c659F2488Dのような16進数の文字列は、覚えられないし、口頭で伝えられないし、名刺に刷れない。もしユーザー名の代わりがこれだとしたら、治療が病気より悪い。

ENS（Ethereum Name Service）がこの反論を解消する。ENSは人間が読める名前――alice.eth、postweb3.eth、satoshi.ethなど――をウォレットアドレスに紐づけ、分散的でユーザーが所有するネーミングの仕組みを提供する。使い勝手の面ではユーザー名と同じように見えるが、裏側の仕組みはまったく違う。名前はデータベースの記録ではなく、暗号的なアイデンティティに結びついている。

この違いは重大だ。従来のユーザー名は、それを発行したサービスの所有物である。TwitterはユーザーIDを回収できる。Googleはアカウントを停止できる。名前空間はプラットフォームが支配している。一方、ENSの名前は登録者が所有するNFTだ。所有者の秘密鍵なしには、誰もそれを取り消せない。名前をプラットフォームから借りているのではなく、自分で所有しているのである。

Handshake、Unstoppable Domains、Solana Name Serviceなど、他のブロックチェーン上の命名サービスも類似の機能を提供している。「名前は、名づける側ではなく名づけられる側が管理すべきだ」という認識への収束は、偶然ではない。

パスワードレスの大きな流れとの合流

ユーザー名が消えつつあるのは、Web3だけの現象ではない。Apple、Google、Microsoftが採用したFIDO（ファイド）アライアンスの「パスキー」規格も、同じ暗号的原理を採用している。サーバーと秘密を共有するのではなく、公開鍵暗号方式で認証する。デバイスに秘密鍵を保存し、顔認証や指紋で本人確認し、パスワードを完全に排除する。

パスキーとウォレット認証は重なる部分が大きい。どちらも公開鍵暗号を使い、どちらも共有の秘密を排除し、どちらもユーザーのデバイスに秘密鍵を保存する。大きな違いは「鍵の管理方法」にある。パスキーは通常、プラットフォームのクラウドサービス（iCloud KeychainやGoogleのパスワードマネージャー）を通じて同期される。ウォレットの鍵はユーザー自身が管理するか、ユーザーが選んだ仕組みで保管する。

この違いは小さくない。プラットフォームが同期するパスキーは使いやすいが、プラットフォームへの依存を再び持ち込む。Appleがアカウントをロックすれば、iCloud経由で同期されたパスキーにもアクセスできなくなる。ウォレットの鍵は完全に自分で管理できるが、管理の手間がユーザーにのしかかる。使いやすさと自己主権の間の緊張は、Web3のアイデンティティ全体に通じるテーマだ。

この二つのアプローチは将来的に合流するだろう。アカウント抽象化（ERC-4337）という技術は、パスキー対応のセキュリティチップを使ったウォレット認証を可能にし、パスワードレスのログインと自己主権的なアイデンティティを、使いやすくかつ自分で管理できるひとつの体験に統合する可能性を開いている。

ログインの先にある変化

ユーザー名が消えることの意味は、ログインの仕方が変わるだけにとどまらない。デジタルにおける「自分」の構造が根本的に変わるシグナルだ。

ユーザー名はサービスによって割り振られた識別子であり、そのサービスの中だけで意味を持つ。ウォレットアドレスはグローバルなネットワーク上に自分で生成した識別子であり、ネットワークに接続できるあらゆる場所で通用する。

サービスごとの識別子からグローバルな識別子への移行は、連鎖的な変化をもたらす。人の「発見」が変わる。各プラットフォームで別々のアカウントを探す代わりに、ひとつのウォレットアドレスやENS名が、すべての対応サービスでの存在に紐づく。「評判」が蓄積する。プラットフォームごとにゼロから実績を積む代わりに、ブロックチェーン上の履歴がひとつの持ち運べる信用記録になる。「データの所有」が逆転する。プラットフォームがデータベースにユーザーのデータを保持する代わりに、ユーザーがウォレットにデータを持ち、アプリケーションに必要な分だけアクセスを許可する。

移行は突然起きるのではなく、両方のモデルが数年間、おそらく数十年間は共存する。しかし重要なインフラはすでに構築されている。ソーシャルリカバリー（信頼できる人による復旧）付きのスマートウォレットが、シードフレーズの紛失リスクを解消しつつある。アカウント抽象化が、従来のログインと見分けがつかないほどスムーズな認証体験を可能にしつつある。方向は明確だ。デジタルアイデンティティの基本単位が、企業のデータベース内の文字列から、ユーザー自身が管理するウォレット内の鍵ペアへと移行しつつある。

まとめ

• ユーザー名の消滅は、単なる新技術の登場ではなく、「サーバーと秘密を共有する」認証モデルの構造的な破綻を反映している
• ウォレット認証は共有の秘密を公開鍵暗号に置き換えることで、情報漏洩やフィッシングの脅威をまるごと排除する
• ENSなどのブロックチェーン命名サービスは、プラットフォームが管理するのではなくユーザーが所有する、人間に読めるアイデンティティの層を提供する
• FIDOパスキー規格はウォレット認証と暗号的原理で合流しつつあるが、鍵の管理モデルで分岐する
• アカウント抽象化が、パスワードレスのログインと自己主権的なアイデンティティを統合しうる
• サービスごとの識別子からグローバルな識別子への移行は、人の発見・評判の蓄積・データの所有に連鎖的な変化をもたらす

ユーザー名が消えることは、悲しむべき出来事ではない。ユーザー名はそもそも妥協の産物だった。もっと良い仕組みをユーザーに渡せなかった時代の、「仕方のない代用品」にすぎない。それに代わるもの――設計の根幹からセキュアで、自分で管理でき、どこにでも持ち運べる暗号的なアイデンティティ――は、セキュリティの向上にとどまらず、人とデジタルサービスの関係そのものを書き換えるアップグレードである。移行には時間がかかるが、その方向は不可逆だ。