〈口座乗っ取り問題〉証券会社が頭を悩ます「多要素認証」の実効性と被害者への「補償」のあり方

証券口座の不正ログインによる株価操縦という、これまでにない金融犯罪が証券市場を脅かしている。写真は東京証券取引所（撮影：梅谷秀司）

個人の証券口座が不正にログインされ、中国株や国内小型株などを勝手に買い付けされるという被害。証券口座が乗っ取られたうえに株価操縦まで行われるという金融犯罪に、証券業界はさまざまな対応を迫られている。

日本証券業協会は4月25日、58社の証券会社がインターネット取引のログイン時に「多要素認証」の設定を必須化すると発表した（4月30日時点で67社に拡大）。

多要素認証とは、ログインする際にID・パスワードの「知識要素」、ワンタイムパスワードなどの「所持要素」、生体認証の「生体要素」のうち、2つ以上の要素を組み合わせて本人認証を行うこと。

偽サイトに誘導するフィッシングやマルウェア（悪意のあるプログラム）を通じてID・パスワードが盗まれても、他の要素がなければログインできないため、セキュリティーの強化につながる。

多要素認証でも不安は拭えず

日証協によればネット取引を提供している証券会社は94社あり、現時点で必須化を決定していなくても、いずれ機関決定する会社が相当数見込まれるという。設定必須化の具体的な開始時期は、各社が利用者への事前説明などを経ながら決定する。

多要素認証を望まない利用者については、従来の方法でログインできる「例外措置」も用意する。

今回の施策は不正ログイン被害を防止する有効な取り組みに思えるが、早くも不安や課題が散見される。

その1つが、多要素認証を導入しても、ID・パスワードとワンタイムパスワードといった「テキスト要素」だけの場合には、結局、フィッシングで抜き取られてしまう懸念だ。