〈口座乗っ取り問題〉証券会社が頭を悩ます「多要素認証」の実効性と被害者への「補償」のあり方

銀行口座や証券口座の不正検知サービスを手がけるカウリスの島津敦好社長によると、フィッシングサイトには「ID・パスワードのほかに、ワンタイムパスワードも抜き取る仕組みのものが多い」という。

そもそもフィッシングサイトにID情報などを入力してしまう利用者は、メールやSMSなどに届いたワンタイムパスワードも入力してしまうおそれがある。

「銀行口座やクレジットカードのフィッシングサイトでも、ワンタイムパスワードを含むテキスト要素が一緒に抜き取られている」（島津氏）のが実態だ。

生体認証の導入にはハードル

この点、多要素認証に生体認証を組み入れれば、フィッシング対策に絶大な効果を発揮する。

だが、株取引で使われることが多いパソコンには生体認証機能が付帯されていないものも多く、現状はテキストに頼らざるをえない。証券会社においても生体認証システムの高額な導入コストがネックになる。

つまるところ、不正ログインを防ぐには組み合わせる多要素認証の中身が重要となるが、日証協は各社の仕組みについて把握していないという。今回の施策がどこまで効果を発揮するか、現時点では不透明な部分がある。