楽天証券、口座乗っ取り「5月上旬以降ゼロ」 絵文字効果

• 記事を印刷する
• メールで送る
• リンクをコピーする

• note
• X（旧Twitter）
• Facebook
• はてなブックマーク
• LinkedIn
• Bluesky

多額の被害を出している証券口座の乗っ取り被害。足元では各証券会社が対策を急ぐ。楽天証券でセキュリティー対策の責任を担う副社長の平山忍氏に対策の効果や今後の取り組みについて聞いた。

――足元の被害状況はどうですか。

「口座を乗っ取られて不正に売買されるという被害は、5月上旬以降はゼロだ。多要素認証の必須化など、必要な対応を進めた効果が出ている」

「ただ、多くのお客様にご心配をおかけしてしまった。もっと早く、1月にでも対策を打つべきだった」

――1月に対策が打てなかったのはなぜでしょうか。

「ログイン時にID・パスワードに加えた追加認証が必要になるなど、ログインや取引までにひと手間必要になる状況は、セキュリティー面の強化が可能な半面、お客様にとっては不便な面がある。そうした対応を必須化する場合、弊社では特に、カスタマーサポートセンターへの問い合わせや不満が発生する恐れがあった」

「一方で、弊社側から顧客の情報が漏洩し、それが不正アクセスの原因になるという可能性は、限りなく低くできるよう、社内の対策は他に類をみないほど厳重・厳格にしている。例えば、ログインなどに必要な情報は、独立したシステムで暗号化して厳重に管理している」

「弊社からの情報漏洩を防ぐという点はかなり意識的に取り組んできた一方、フィッシング詐欺などでお客様ご自身が被害にあい、ID・パスワード・暗証番号などが悪意ある第三者の手に渡った場合でも、ログインの追加認証などで被害を防ぐ対策を提供していた。それにもかかわらず、追加認証の必須化も含めて、周知・徹底が不足していた点は、反省すべき点だと考えている」

――現状は、どのような対策を講じているのですか。

「ログイン時の多要素認証を必須化しているが、弊社では、『絵文字』を使った方法を採用している。ログインIDとパスワードに加え、登録済みのメールアドレスに送られてくる絵文字を選択して本人確認を行う仕組みだ」

「数字や文字列での多要素認証は、リアルタイムでのフィッシング攻撃によって突破されやすい。一方で、絵文字だと、限られた時間の中で人に伝えるのが非常に難しい」

「多要素認証の必須化以前の2021年から既に導入している仕組みだ。最初は絵文字で効果が上がるという点に半信半疑だったが、足元で被害を止められていることを考えても、絵文字の多要素認証はかなり有益な手段だと考えている」

――フィッシングメールにはどのように対応しているのですか。

「現状では、フィッシングメールを検知して1時間以内にフィッシングサイトを削除できる仕組みを複数整えている。弊社が削除した後にお客様にフィッシングメールが届いたとしても、にせのサイトは存在しないので、エラー画面などが表示されるはずだ」

「フィッシングサイトも、24時間365日で完全モニタリングして、自動で削除されるよう、複数の対策を取っている」

――今後はどういった対策を取りますか。

「金融庁のガイドラインで、『フィッシングに耐性のある多要素認証の設定』が求められる方針であることを受けて、生体認証を使った『パスキー』を秋に導入予定だ」

「ただ、パスキーという1つの道具だけで攻撃者と戦えるかというと、そうではない。現状の対策をより強固なものにするため、システムや社内の体制をさらに整えていく予定だ。使える道具はすべて使って、様々な認証方式を組み合わせていくことが重要だと考えている」

（聞き手は川本和佳英）

• 記事を印刷する
• メールで送る
• リンクをコピーする

• note
• X（旧Twitter）
• Facebook
• はてなブックマーク
• LinkedIn
• Bluesky

権限不足のため、フォローできません