【証券口座乗っ取り対策】多要素認証も突破される！？

ネット証券などで不正アクセスにより顧客の資産が勝手に売却され、その資金で見知らぬ中国株などが購入されるという被害が今年の3月以降に急増しました。

金融庁によると5月までに確認された不正な取り引きによる売買が5000億円を超えたとのこと。

www.fpinv7.com

証券口座乗っ取り対策として多くの証券各社は多要素認証を必須化しています。

必須化された多要素認証を導入すれば、不正アクセスは完璧に防げて安心と思っている方も少なくないでしょう。

しかし、実際には多要素認証も絶対ではなく、突破される事例が発生しています。

今回の記事ではSBI証券のサイトに掲載されているリアルタイムフィッシング詐欺事例をもとに解説します。

証券会社に預けている老後資金が心配だ！という方は参考にしてください。

多要素認証とは？
多要素認証が突破された事例とは？
証券口座乗っ取り対策は総合的に行う｜多要素認証を絶対視しない
まとめ

多要素認証とは？

まずは、簡単に多要素認証についてと二段階認証との違いについて解説したいとおもいます。

多要素認証とは？

認証において、知識要素（PW、秘密の質問等）・所持要素（SMSでの受信や専用トークンで生成するワンタイムコード等）・生体要素（指紋、静脈等）のうち二以上の要素を組み合わせること。同一要素を複数回用いる多段階認証よりもセキュリティが強いとされる。
（出典：金融庁）

私は証券口座の乗っ取り被害が話題になるまで多要素認証と二段階認証は言葉が違うだけで同じものだと勘違いしていました。

実際は上記の通り、二段階認証よりも多要素認証の方がセキュリティが強いとされています。

例えば、ID・パスワードでログインを行ったあと「秘密の質問」の答えを入力する認証方式があります。

この方式では認証の段階を2つ踏むため二段階認証ですが、知識要素（PWと秘密の質問）だけですので多要素認証にはなりません。

SBI証券では多要素認証として「FIDO（スマホ認証）」と「デバイス認証」が導入されています。

多要素認証の導入すれば詐欺被害に遭う可能性は下がるでしょう。

しかし、完璧に口座乗っ取りが防げるわけではありません。

多要素認証が突破された事例とは？

SBI証券のサイトに多要素認証が突破された事例として「リアルタイムフィッシング詐欺事例」が掲載されています。

リアルタイムフィッシング詐欺事例

リアルタイムフィッシング詐欺とは、ユーザーが入力した認証情報をリアルタイムで窃取し、正規サイトへ即座に不正アクセスすることで、ワンタイムパスワードなどを用いた二段階認証を突破する手口です。

「リアルタイムフィッシング詐欺事例」の手口は以下の通りです。

手口 ①フィッシングサイトへの誘導

詐欺グループ（攻撃者）は、金融機関や大手企業などを装った偽のメールやSMSを送信し、フィッシングサイトへ誘導します。

手口②認証情報の取得

ユーザーがフィッシングサイトにIDとパスワードを入力すると、詐欺グループはその情報をリアルタイムで窃取します。

手口③フィッシングサイトを活用した二段階認証の突破

詐欺グループは窃取したIDとパスワードを使い、即座に正規のウェブサイトへログインを試みます。正規サイトがデバイス認証などの追加認証を要求すると、詐欺グループはフィッシングサイト上でも同様の入力を促します。SMSやメール等で受信したワンタイムパスワードや認証コード等をフィッシングサイトに入力すると、詐欺グループはその情報もリアルタイムで窃取し、正規サイトの認証を突破して不正アクセスを行います。

上記の通り、多要素認証を導入しても証券口座乗っ取りを完全に防げるわけではありません。