証券会社のログイン「多要素認証」必須化へ GWに設定見直しを

証券会社のログイン「多要素認証」必須化へ GWに設定見直しを
山口健太ITジャーナリスト
多要素認証の設定が必須に(楽天証券のWebサイトより、筆者撮影)

証券会社を狙う不正取引問題が続く中で、ログイン時のセキュリティ対策として、多要素認証を「必須化」する動きが始まっています。

また、すでに提供されている機能であれば必須化を待つことなく設定できます。ゴールデンウィークの連休などを利用して、設定を見直すことをおすすめします。

証券58社が多要素認証の設定を必須化へ

証券会社における不正取引の被害について、金融庁は4月18日時点の暫定値として不正取引が1454件、売却金額は約506億円、買付金額は約448億円という数字を発表しています。

当初、注目を集めたのは楽天証券やSBI証券でしたが、4月上旬には野村證券が一部の日本株の買い注文を停止したと報じられ、4月22日には三菱UFJ eスマート証券でも不正取引が判明するなど被害が広がっています。

アカウント情報が盗まれる経路の1つとみられるのが、本物に似せた偽サイトを用いたフィッシングです。トレンドマイクロの調査によれば、特定の証券会社に対して8つの構造的な特徴が異なる偽サイトが確認されたとのことから、複数の勢力が暗躍している可能性を示唆しています。

証券会社を狙ったフィッシングサイトの例。IDとパスワードに加えて、氏名や生年月日、「取引暗証番号」も入力させている(トレンドマイクロ提供資料)

証券会社は利用者向けに対策を呼びかけてきましたが、日本証券業協会は多要素認証の設定を必須化する方針を打ち出し、必須化を決定した58社(4月25日時点)を公表しました。なお、必須化は「明示的にそれを望まない顧客を除く」としています。

これを受け、楽天証券は「ログイン追加認証」を今後必須化する予定があると発表。楽天証券の広報担当者によれば、いったん利用者全員の設定を有効化した上で、不要と判断した場合は自分で解除できる手段を残す方向で考えているようです。

ログイン追加認証が必須になることを予告している(楽天証券のWebサイトより)

また日証協のサイトには「具体的な対応開始時期は証券会社ごとに異なる」との記述があります。証券会社によっては、いつ、どのような形で「必須化」を実施するか検討中としているところもあり、温度差が感じられます。

利用者目線では、必須化を待つ必要はありません。自分の口座はもちろん、連休などで帰省する機会があれば、マルウェア対策などパソコンのメンテナンスとあわせて、家族の証券口座の設定も見直すことをおすすめします。

Webサイト以外に、証券会社が提供する取引用のアプリやソフトウェアにも注目が集まっています。SBI証券は、これまでスマホ認証が利用できなかった「米国株アプリ」についても、4月26日に対応したことを発表しています。

多要素認証に未対応のアプリやソフトウェアが残っていると、せっかくWebサイトへのログイン時の多要素認証を必須化しても「抜け道」になりかねないだけに、各社には早急な対応を求めたいところです。

大切な資産を第三者に売買されてしまう恐れがあるというのは、どんな人にとっても不安なものです。情報発信を含め、いかにして「安心」できる取引環境を提供できるか、証券会社の姿勢が問われているといえそうです。

多要素認証が突破される可能性は?

他の業種では多要素認証に対応したフィッシングサイトが出てきているように、多要素認証を設定しても被害を完全に防げるわけではないという点に注意が必要です。

たとえばログインする際、事前に登録したスマホにSMSでコードが届く方式を考えてみます。第三者がIDとパスワードを入力してログインを試みたとしても、SMSでコードを受け取れるのは本人のみです。

そこで偽サイトはSMSで届いたコードを入力させるフォームを用意し、被害者本人に入力させようとします。そのコードを攻撃者が本物のサイトに入力すれば、ログインできてしまうというわけです。

だからといって、多要素認証が無意味というわけでもありません。証券会社のアカウントは偽サイトやマルウェアなどを介して大量に窃取されたとみられ、アカウント情報自体を売買するなどの手段を含めて攻撃が広がった可能性があります。

しかし多要素認証が有効になると、過去に盗み出したアカウント情報の価値は大幅に下がります。また技術的には多要素認証に対応したフィッシングサイトを作り込むことができても、経済的な利益を得るためのハードルは上がると考えられます。

クレジットカードの不正利用の事例では、セキュリティの強化によって攻撃者のターゲットが他に移るという動きが確認されています。多要素認証の必須化についても同様に、攻撃者を証券会社から遠ざける効果があるか、注目されます。

ITジャーナリスト

(やまぐち けんた)1979年生まれ。10年間のプログラマー経験を経て、2012年にフリーランスのITジャーナリストとして独立。日経クロステック(xTECH)やASCII.jp、ITmedia、マイナビニュースなどの媒体に寄稿し、2021年からは「Yahoo!ニュース エキスパート」として活動しています。

  • シェア:

関連記事: