証券会社で二段階認証がはじまります

今年になってから証券会社の個人口座が不正アクセスで乗っ取られ、保有している株を勝手に売買される被害がひろまっています。そこで二段階認証が多くの保険会社で導入されることになりました。

フィッシング詐欺の8割以上が日本向け

不正アクセスの原因の一つは利用者のセキュリティ意識の低さです。2007年にスマホが登場し、チケット予約から居酒屋の支払いまでスマホ一つで出来る便利な世の中ですが、セキュリティ教育がおいついていません。まずスマホは昔の大型コンピュータ並みの性能があることを認識しましょう。小中高ではセキュリティやモラルについて教えていますが、スマホ登場前に学校を卒業した多くの人はセキュリティ教育を受けていません。

つまりフィッシング詐欺に対する耐性がありません。証券会社をよそおった偽メールやSMSが送られ、本文のボタンやURLをクリックすると本物そっくりの偽サイト（フィッシングサイト）へ誘い込まれ、認証情報を入力させられます。本人は情報漏洩したことに気がつきません。昔からある古典的方法ですが実に有効です。

海外からの攻撃が多く、昔は変な日本語の言い回しなどになっていて、すぐに分かったのですが生成AIが登場し、流ちょうな日本語メッセージが届くようになりました。4月にはついにフィッシングメール攻撃の8割以上が日本向けの攻撃になりました。日本語という大きな防御壁が生成AIでなくなり、利用者がセキュリティ教育を受けておらず、お金をもっている日本人は絶好のターゲットになります。

届いたメールやSMSのURLはクリックしない

対抗策は昔から言われていますが届いたメールやSMSに記載されたURLはクリックせず、気になる時はオフィシャルサイトからサービスに入ることです。検索する場合は、検索結果の上部に出てくる広告ではなく、オフィシャルサイトから入ります。広告はお金を出せば上位表示できるので、広告からフィッシングサイトに誘導する攻撃も行われています。

またホテルやショッピングセンターなどで提供されている無料Wifiでは個人情報などを入れないことです。あとパスワードの使いまわしはダメで、基本は一つだけ難しいパスワードを考え、例えばGoogleならパスワードの頭にサービス名の頭2文字の「go」をつけるなど自分なりのルールを作ります。こうすれば全てのパスワードを変更できます。

二段階認証を導入する

証券会社の多くでは、これ以上の被害を防ぐために二段階認証へシステム変更し提供をはじめています。二段階認証とはID、パスワード以外に追加の認証手段があることです。

ID、パスワードが第三者に漏洩しても、もう一つ壁がありますので不正アクセスを防ぐことができます。ID、パスワードをログインすると登録したメールに自動的に送られた番号を入力しないと認証が進まない形がよく使われています。

他にはリスクベース認証もあります。リスクベース認証とはユーザーの利用端末やアクセス時間などの行動パターンや、接続元のIPアドレス、OS、ブラウザなどの環境がいつもと異なっていた場合、なりすましの可能性があると判断し、追加で別の認証を求める仕組みです。

二要素認証がおすすめ

二段階認証よりも推奨されているのが二要素認証です。二要素認証とは知識要素（パスワードなど）、所有要素（ICカードやワンタイムパスワードなど）、生体要素（指紋など）のうち二つを組み合わせた認証です。例えばパスワード入力の後に「秘密の質問への答え」を問うのは、どちらも知識要素であり二要素認証にはなりません。銀行から送られてきた表示機に表示されるワンタイムパスワードを入力する。マイナンバーカードでマイナーポータルにアクセスするのは二要素認証になっています。

ただ所有要素の場合、ワンタイムパスワードの表示機やICカードなどが必要となり手間になります。顔認証のようなバイオメトリスク認証でしたら持ち歩かなくてもすみます。既に鉄道では顔認証改札がはじまっています。

ただ認証で問題となるのは急に亡くなった時のデジタル遺品の扱いです。IDとパスワードがエンディングノートに書いてあってもバイオメトリスク認証との二段階認証になっていたら、にっちもさっちもいかなくなります。

ITコラムカテゴリーの人気記事

ITコラムシステムが誤動作するかもしれない2025年問題とは

ITコラムブロックチェーン　サトシ・ナカモトって誰？