ネット証券などで不正アクセスにより顧客の資産が勝手に売却され、その資金で見知らぬ中国株などが購入されるという被害が今年の3月以降に急増。
金融庁によると7月までに確認された不正取引の累計件数が14069件、売買額が6205億円になりました。
被害を受けた顧客への補償額はSBI証券で80億円、楽天証券で10億円にのぼるとのこと。
個人投資家だけでなく、証券会社も詐欺被害に戦々恐々としている状況です。
詐欺被害の削減に向けて証券各社はセキュリティーを向上させる施策を行っていますが、SBI証券などがFIDO2を導入すると発表しました。
そこで今回の記事では、FIDO2について下記ポイントを解説します。
- FIDO2とは?
- FIDO2導入で証券口座乗っ取りは防げるのか?
証券口座乗っ取りが不安な方は参考にしてください。
FIDO2(パスワードレス認証)とは?
FIDO2とは、パスワードを使わずに安全にログインできる「パスワードレス認証」の技術。
指紋認証や顔認証など、スマートフォンやパソコンに備わっている認証機能を使うため、パスワードを覚えたり管理したりする必要がなくなります。
その結果、パスワード漏えいによるセキュリティリスクを大幅に減らせます。
Google Chrome、Microsoft Edge、Safariなど主要なブラウザや、Windows、Android、macOS、iOSといった多くのOSが対応しているため、普段使っているデバイスでそのまま利用可能。
なお「パスキー(Passkeys)」という言葉を目にする機会が増えています。
「パスキー(Passkeys)」は、FIDO2の仕組みを分かりやすく表現した呼び名で、今後普及が進むと期待されています。
いつから導入される?
SBI証券では、「FIDO2(パスワードレス認証)」の導入予定を2025年秋頃としています。
また、楽天証券やマネックス証券でも2025年秋頃からFIDO2(パスキー)を導入すると発表しています。
なお、金融庁と日本証券業協会は証券口座の乗っ取り事件を受け、インターネット取引の対策を盛り込んだ指針案を公表。
顔や指紋を使った生体認証やPKI(公開鍵暗号基盤)と呼ぶ暗号化技術など高い安全性を備えた本人確認の手法を必須にするとしています。
今後もパスキーを導入する証券会社が増えていくでしょう。
FIDO2導入のメリットは?
SBI証券はFIDO2導入のメリットを以下のように解説しています。
Point 1:「パスワード漏洩」「フィッシング詐欺」のリスクを低減
FIDO2は、お客さまのデバイス上で処理するため、認証情報を盗まれる・改ざんされるリスクが低減されます。 技術的な強みだけでなく、パスワードを必要としないことで、当社のログイン画面に見せかけた偽ページでログイン情報を入力してしまうフィッシング攻撃を回避することができます。
Point 2:パスワードの管理から解放されたスムーズなログイン体験セキュリティ強度の高いパスワードは複雑にする必要があるため、入力の手間が増え、覚えるのも大変ですが、これらの管理が不要で生体認証を利用したシームレスなログイン体験を実現します。
Point 3:特別なソフトは不要!多くのデバイスで利用可能!!スマートフォンやPCなどのデバイスに内蔵されている生体認証機能を使用しますので、普段お使いの端末で利用でき、デバイスにUSBやNFC(Near Field Communication)、Bluetoothなどのセキュリティキーを外付けして使用することも可能です。 対応したWebブラウザで動作するため、特別なアプリをインストールする必要もありません。
(出典:SBI証券)
FIDO2導入のデメリットは?
FIDO2導入にデメリットはないのでしょうか?
ユーザー側のデメリットは認証に使うデバイスを紛失したり、故障したりすると、そのデバイスに登録したアカウントにログインできなくなるリスクがある程度。
私たち個人投資家側に大きなデメリットはありません。
しかし、これだけ頻繁にログイン方法を変えられると、最新の情報についていけない人もいるでしょう。
アラフィフの私も何とか最新の技術にキャッチアップするようにしていますが、高齢化した際に進歩していく技術から取り残されないかが心配です。
下手をすると証券口座にログインさえできなくなる事態も発生し得るでしょう。
「FIDO(スマホ認証)」と「FIDO2(パスワードレス認証)」の違い
現在、SBI証券では多要素認証としてFIDOを採用していますが、FIDO2との違いはどこにあるのでしょうか。
違いを簡単にまとめると、『FIDO=パスワードを補助するセキュリティ規格 』で『FIDO2=パスワードを不要にする新しいログイン規格』です。
FIDO(スマホ認証)とFIDO2(パスワードレス認証)の主な違いの比較は下図の通り。
(出典:SBI証券)
FIDO(スマホ認証)はその名の通り、スマホが必要ですが、FIDO2(パスワードレス認証)はスマホがなてくも利用できます。
また、FIDOは一口座に一台のスマホが必要でしたが、FIDO2は一つのデバイスで複数の口座が利用可能。
未成年の子供の口座を管理している方も少なくないでしょう。
そのような場合には、一デバイスで複数口座の認証ができる点は大きなメリットになります。
FIDO2(パスキー)の導入で証券口座乗っ取りは防げる?
FIDO2(パスキー)の導入で証券口座乗っ取りは完全に防げるのでしょうか?
残念ながら、FIDO2(パスキー)を導入しても証券口座乗っ取りを完全に防ぐことはできません。
セッションハイジャックのような利用者側の端末が乗っ取られた場合などは不正売買されるケースが考えられます。
しかし、FIDO2を導入すれば、フィッシングやパスワード漏洩による不正ログインはほぼ防げることは間違いありません。
多要素認証が導入され始めた6月頃から、明らかに証券口座乗っ取り被害は減りました。
(出典:金融庁)
FIDO2の導入が進めば、更に被害は減少するでしょう。
今後、詐欺のレベルも上がっていくことが予想されます。
私たち個人投資家は極力、セキュリティー対策のレベルを上げておくことが得策といえます。
まとめ
SBI証券では、「FIDO2(パスワードレス認証)」の導入予定を2025年秋頃としています。
また、楽天証券やマネックス証券でも2025年秋頃からFIDO2(パスキー)を導入すると発表しています。
FIDO2を導入していも、マルウェアに感染してログインしているセッションを乗っ取られるケースなどでは不正売買は防げません。
しかし、FIDO2を導入すれば、フィッシングやパスワード漏洩による不正ログインはほぼ防げることは間違いありません。
今後、詐欺のレベルも上がっていくことが予想されます。
私たち個人投資家は極力、セキュリティー対策のレベルを上げておくことが得策といえます。
