一連の証券口座への不正ログインの問題が発生してから半年。被害額は合計で5,000億円を超えてしまったものの、対策が進んだことで被害は減少傾向です。
それでも6月には1,539件の不正アクセスがあり、783件の不正取引、400億円近い被害が発生しています。
こうした攻撃に対して証券各社は多要素認証の導入を進めていますが、それだけでは不十分という声が根強くあります。本連載の第83回では、パスキーとiPhoneのマイナンバーカードについて触れましたが、最終的にほぼパスキーが義務化されることになりそうな情勢です。
証券会社の業界団体は多要素認証の必須化を決定
多要素認証とは、一般的なIDとパスワードによるログインに加えて、もう1要素を加えてログインするという仕組みです。よく知られているところではキャッシュカードと暗証番号が多要素認証を利用しており、「物理カードの所有」と「暗証番号の知識」という2つの要素を使っています。
オンラインでよく使われているのがSMS認証です。これはID/パスワードという知識に加えて、あらかじめ登録した携帯電話番号宛てに送信したSMS記載の暗証番号を入力することで、携帯電話の所有を認証に使うというものです。
暗証番号の送信にはメールを使ってもいいですし、スマートフォンアプリを使って生成された暗証番号を使っても同様です。この2要素を使うことで、より安全にログインできるようになります。
こうしたワンタイムパスワードを使った2要素認証は、パスワードリスト攻撃に対しては有効ですが、フィッシング詐欺対策としては完璧ではありません。ユーザーの入力情報をリアルタイムで送信して不正ログインを試みるリアルタイムフィッシングと呼ばれる攻撃に対しては脆弱です。
そのため、業界団体の証券業協会が、まずは「インターネット取引におけるログイン時の多要素認証の設定必須化」を決定。
その結果、現時点で79社が多要素認証の設定必須化を決め、導入を進めています。
続いて7月15日には「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案が公表され、記事執筆時点ではパブリックコメントの募集がされています(8月18日まで)。このガイドラインでは新たに、「ログイン時、出金時、出金先銀行口座の変更時など、重要な操作時におけるフィッシングに耐性のある多要素認証(例:パスキーによる認証、PKI(公開鍵基盤)をベースとした認証)の実装及び必須化(デフォルトとして設定)する」との文章が追加されました。
ワンタイムパスワードでは不十分!?
フィッシング耐性のある多要素認証の実装と必須化がガイドラインで定められるということは、ワンタイムパスワードでは不十分と判断したということになります。リアルタイムフィッシングの実際の攻撃が発生している可能性を示唆していますが、予防的な対策かもしれません。
実際問題として、ワンタイムパスワードはユーザビリティの面でそれほど優れたものではありません。ログインしようとしようとするとSMSやメールでメッセージが送信されるので、それを待って番号をコピーして(もしくは記憶して)入力する、という手間がかかります。まれに、SMSやメールが届かないといった問題が発生することもあります。
アプリを使ったワンタイムパスワードの場合、今度は認証アプリを立ち上げてログインするアカウントを探し、30秒など番号の有効期限内に入力する必要があり、これも手間がかかります。
安全面とユーザビリティの両面から、ワンタイムパスワードは、今や次善の策という位置づけにあります。
ガイドラインに示されたPKIは、日本ではマイナンバーカードを使ったJPKI(公的個人認証)が最も扱いやすいでしょう。特に最近は、iPhoneのマイナンバーカードが登場し、スマートフォン単体で実行できるため手軽にはなっています。
証券会社のパスキー導入後、注意すべきは……
ただ、やはり本命はパスキーでしょう。
パスキーは、生体認証を組み合わせた技術で、FIDO AllianceとWeb標準化団体W3Cが標準化。Google/Apple/Microsoftというプラットフォーマーをはじめ、NTTドコモ/ヤフー/メルカリ/任天堂/ソニーなど、そうそうたる企業が導入しています。パスキーはそれだけで多要素認証となるため、パスキーを導入すれば、パスワードやワンタイムパスワードは不要になります。
パスキーでは各サイトやサービスごとに認証情報が生成されるため、どんなに巧妙に偽装しても、URLが異なる偽のサイトではパスキーを使ったログインが行えません。これがバインディングと呼ばれる技術で、「フィッシング耐性のある多要素認証」ということになります。生体認証自体はスマートフォン内で完結するため、プライバシー上の問題もありません。
パスキーではパスワードが存在しないため、パスワードの漏えいや使い回しに関しても耐性があります。生体認証なので、パスワードを覚える必要もありません。アプリの切り替えやSMSを待つ必要もなく、ログイン画面で生体認証をするだけでログインできるため、さまざまな導入企業がログインの高速化を指摘しています。
これは証券会社にもメリットがあります。即座にログインして売買をしたいユーザーも多く、パスワードを入力するよりも早くログインできるかもしれません。
パスワード忘れがなくなるというのも得がたい特徴です。
現状、ロボアドのウェルスナビ、楽天証券、SBI証券、マネックス証券といった証券会社が導入を表明。ほかにも検討していると話す証券会社もあります。現在パブリックコメント中のガイドラインが確定したら、各社は導入が必要になるため、最終的には全社が対応することになるでしょう。
最初に生体認証を登録する際に多少の設定が必要ですが、「生体認証を登録する」ということさえ理解していれば、それほど手間ではないはずです。それでも最初は登録してもらうのには時間がかかり、またサポートへの問い合わせが殺到することになるかもしれません。それでも、パスワードに関する問い合わせがなくなる点でメリットを感じていると話す事業者も複数あります。
とはいえ、証券会社でパスキーが全面導入になったとしても、犯罪者が絶滅することはありません。自然と、別の金融サービスへと矛先を向けることになるでしょう。弱いところ、狙いやすいところに順次移動していくのが犯罪者です。
証券会社がダメなら銀行、クレジットカードといった金融/決済サービスが狙われるでしょう。そもそも、すでにどちらも狙われているのですが、証券会社がパスキーに移行することで、銀行やカード業界でもパスキーの普及が一気に進むかもしれません。
こうした点でも動向が注目です。
なお、パスキー導入の際には、パスワードを廃止する「パスワードレス化」を行うと最も安全性が高まります。マイクロソフトやドコモ、ヤフーなど一部でそうした設定が導入されていますが、パスワードレス化を行うとアカウント復旧のための手段が必要でトラブルが増えると判断されているのか、現状ではパスワードレス化したサービスは多くはありません。
証券会社でもガイドラインでパスワードレス化までは求められていないため、「パスキーでログインできなければパスワードでログイン」を求める偽サイトに騙される、パスワードが漏えいしてログインされるといった事態はありえるかもしれません。そうした点には今後も注意していく必要があるでしょう。
小山安博 こやまやすひろ マイナビニュースの編集者からライターに転身。無節操な興味に従ってデジカメ、ケータイ、コンピュータセキュリティなどといったジャンルをつまみ食い。最近は決済に関する取材に力を入れる。軽くて小さいものにむやみに愛情を感じるタイプ。デジカメ、PC、スマートフォン……たいてい何か新しいものを欲しがっている。 この著者の記事一覧はこちら
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)