証券口座の乗っ取りを試みる犯罪の勢いが衰えない。証券各社はログイン時にIDやパスワード以外に複数の認証方法を組み合わせる「多要素認証」の対応を進めた。だがその後も続く被害に、日本証券協会は、生体認証を備える認証方法などの必須化を求める方針だ。利用者は、犯罪の手口を知り、対策を講じる必要がある。
「自分の証券口座の保有資産を見て、ただぼうぜんとした。」千葉県に住む無職の60代男性Aさんは4月下旬、ネット証券の口座のログイン通知をメールで受け取った。身に覚えがなく、慌てて口座を開くとJT株など保有していたはずの株は一切見当たらない。残っていたのは、購入した井奥のない個別株1銘柄だけだった。
不正に売却された銘柄は、老後のために配当収入を得ようと数年前に買った。「年間60万円程度の配当収入があった。これが消えてしまったのは厳しい」と話す。
証券会社のインターネット取引のIDやパスワードなどが盗まれ、Aさんのように、不正に取引される口座の乗っ取り被害。金融庁によると、直近7月に発生した株式などの不正売買は約460億円と、最も多かったのは4月の約2921億円に比べ約84%減った。
だが、未だ100億円単位の不正売買があるともいえる。サイバーセキュリティ大手のトレンドマイクロによると、フィッシングサイトが検知された証券会社は7月に12社と、これまで最多だった4、6月の11社を上回る。セキュリティエバンジェリストの岡本氏は「犯罪者からの攻撃は全く減っておらず、証券会社が求めている多要素認証を設定しても被害にあうケースがある」と話す。
フィッシングサイトで盗み取った情報を、犯罪者がすぐに本物のサイトに入力してログインする「リアルタイム型」の手口がある。日証協は4月にログイン時の「多要素認証」の必須化を促す方針を発表し、7月7日までに79の証券会社が対応対応済みだが、この手口では多要素認証を突破されることがあるという。リアルタイム型の場合、まず、利用者をショートメッセージサービス(SMS)やメールのリンクから偽サイトに誘導し、ログインIDやパスワードを入力させる。この時犯罪者は正規のサイトにアクセスし、盗み取ったIDやパスワードを即座に入力する。
利用者がSMSやメールに届く数字などのワンタイムパスワードを多要素認証として使う場合、犯罪者は、利用者にワンタイムパスワードを求める偽のサイトを提示して入力させる。犯罪者が偽サイトで盗んだワンタイムパスワードを本物のサイトに入力すれば、ログインができてしまう。
パスキーとは、スマホやパソコンの端末の中に「鍵」を保存して認証を受ける仕組み。利用者が自分の端末から口座へのログインを試みたとき、証券口座のサーバーから認証を求められる。この時端末に紐付けられた顔認証や指紋認証を使うと、暗号された「秘密鍵」によって作成された署名がサーバーでは、事前に登録した「公開鍵」で署名を検証し、本人と認証する。
現状の多要素認証では、多くの証券会社が、メールや携帯電話などにワンタイムパスワードとして、数字や文字列を送る方法を用いるが、数字や文字列は犯罪者に伝わりやすい。一方、パスキーはパスワードが存在しないため、情報漏洩のリスクは大きく減る。
SBI証券や楽天証券、野村證券などが、秋にもパスキーを導入するとしている。ただ、顧客が利用する端末が古いなどで、パスキーに対応していないと使えない。パスキーが使えない場合、日証協のガイドライン案「代替的な多要素認証を提供する」などを証券会社に求める。例えばSBI証券では「取引時にも多要素認証を入れるなど、段階を分けたセキュリティ強化を図るなどが考えられる」という。
ウイルス感染などで被害にあう可能性には注意が必要だが、パスキーを導入すれば「現状の主な犯罪手口はほぼ防げる」もし端末が対応しない場合は購入も検討すべきだ。
(参考 日経新聞 令和7年8月30日より)
証券口座乗っ取り生体認証で防ぐ
