現役投資家FPが語る

20年以上の投資経験がある現役投資家FPが「人生100年時代」の資産運用や公的年金など「お金」の知恵について語ります

トップ > 投資詐欺 > 【口座乗っ取り対策】FIDO2(パスキー)のメリットは?必須化される?

【口座乗っ取り対策】FIDO2(パスキー)のメリットは?必須化される?

投資詐欺

ネット証券などで不正アクセスにより顧客の資産が勝手に売却され、その資金で見知らぬ中国株などが購入されるという被害が今年の3月以降に急増。

 

金融庁によると7月までに確認された不正取引の累計件数が14069件、売買額が6205億円になりました。

 

多要素認証が導入されてから口座乗っ取り被害は減っていますが、7月の不正売買額は約460億円という状況。

 

詐欺被害の削減に向けてSBI証券や楽天証券などがFIDO2(パスキー)を導入すると発表しました。

www.fpinv7.com

 

FIDO2(パスキー)の導入により詐欺被害の大きな減少が期待されています。

 

そこで今回の記事では、FIDO2について下記ポイントを解説します。

  • 多要素認証でも口座乗っ取り被害は防げない!?
  • FIDO2とは?メリットは?
  • FIDO2の導入は必須化される?

 

証券口座乗っ取り被害が不安な方は参考にしてください。

 

 

多要素認証でも口座乗っ取りは防げない!?

多要素認証を必須化する証券会社が増えてから口座乗っ取り被害は減少傾向にありますが、犯罪者からの攻撃は減っていない様子。

 

実際、不正売買額は6月の約390億円に比べて7月は約460億円と増えています

(出典:金融庁)

 

不正売買額が減らない要因の一つがリアルタイムフィッシング詐欺により多要素認証が突破されているから。

(出典:日本経済新聞)

 

下記記事で解説した通り、リアルタイム型の詐欺に遭うと多要素認証を導入していても証券口座を乗っ取られてしまう可能性があります。

www.fpinv7.com

 

不正アクセスやフィッシング詐欺に対する耐性が飛躍的に向上した次世代の認証技術とされているのがFIDO2(パスキー)

 

詐欺被害の削減に向けてSBI証券や楽天証券などで2025年秋ごろから導入される予定です。

 

 

FIDO2(パスキー)とは?メリットは?

FIDO2(読み方:ファイドツー)とは、パスワードを使わずに安全にログインできる「パスワードレス認証」の技術。

 

指紋認証や顔認証など、スマートフォンやパソコンに備わっている認証機能を使うため、パスワードの入力が不要となります。

 

Google Chrome、Microsoft Edge、Safariなど主要なブラウザや、Windows、Android、macOS、iOSといった多くのOSが対応しているため、普段使っているデバイスでそのまま利用可能。

 

なお、「パスキー(Passkeys)」は、FIDO2の仕組みを分かりやすく表現した呼び名

 

スマホやパソコンに「鍵」を保存して行われる認証方法です。

 

下図の通り、ログイン時にサーバーが認証を要求。

 

端末で顔認証や指紋認証をすると、秘密鍵で作った署名がサーバーに送られます。

 

サーバーは登録済みの公開鍵で署名を確認し、本人だと認証します。

(出典:日本経済新聞)

 

メリット1:複雑なパスワードを覚える必要がない

セキュリティ強度の高いパスワードは複雑にする必要があるため、入力の手間が増えて覚えるのも大変。

 

私は4社の証券口座を使っていますが、ログイン時と取引時で合計8つのパスワード(PW)が必要となります。

 

PWは覚えやすいように工夫していますが、ログインの間隔が空くと忘れてしまうことがあります。

 

FIDO2(パスキー)認証では、生体認証(指紋認証や顔認証)やPINコードなどでログインするため、複雑なPWの管理から解放されます。

 

メリット2:不正アクセス耐性が高い

FIDO2(パスキー)認証はパスワードの入力が不要なため、パスワード漏えいやフィッシング詐欺のリスクが大幅に軽減します。

 

パスワードを必要としないので、ログイン画面に見せかけた偽ページでログイン情報の入力を要求された場合、フィッシング詐欺だと気付くことができます。

 

メリット3:多要素認証を簡略化

現状、証券口座へのログインにはログインID・パスワードに加え、ワンタイムパスワードやデバイス認証などの多要素認証が必要。

 

しかし、FIDO2(パスキー)認証を利用すると、ログインID・パスワードの入力や多要素認証が不要になります。

 

SBI証券のデバイス認証やマネックス証券のワンタイムパスワードなどには時間制限があります。

 

FIDO2(パスキー)認証であれば、時間制限に焦ることなくスムーズなログインが可能になります。

 

 

FIDO2は必須化される?

やっと新しい多要素認証に慣れてきたのにまた、新しい認証方法が導入されると聞いてうんざりしている方もいるでしょう。

 

できれば慣れた方法でログインしたいと考えてしまうもの。

 

FIDO2の導入は必須化されるのでしょうか?

 

パスキーに対応していない端末を持っている人もいるので、現段階での必須化は難しいでしょう。

 

マネックス証券や楽天証券は「よくある質問」の回答としてFIDO2(パスキー)導入を必須化しないとしています。

Q:パスキー認証は必須になりますか?

A:いいえ、必須ではありません。パスキー認証が利用できない場合は、従来どおりのログインID・パスワードと絵文字認証でログインができます。

(出典:楽天証券)

Q:パスキー認証の利用は必須ですか?

A:必須ではありませんが、セキュリティ強化のためご利用を強くお勧めします。

(出典:マネックス証券)

 

今後も詐欺集団からの攻撃が続くことが予想されます。

 

導入は必須化されませんが、フィッシングやパスワード漏洩による不正ログインはほぼ防げるFIDO2(パスキー)を利用する方が無難でしょう。

 

 

まとめ

SBI証券や楽天証券などで2025年秋頃から「FIDO2(パスワードレス認証)」の導入が予定されています。

 

FIDO2(パスキー)を導入していも、マルウェアに感染してログインしているセッションを乗っ取られるケースなどでは不正売買は防げません。

 

しかし、FIDO2を導入すれば、フィッシングやパスワード漏洩による不正ログインはほぼ防げることは間違いありません。

 

今後、犯罪集団の詐欺レベルも上がっていくことが予想されます。

 

私たち個人投資家は極力、セキュリティー対策のレベルを上げておくことが得策といえます。