本人確認が甘かった…証券｢口座乗っ取り｣10社が補償拒否から一変､セキュリティとのバランスを見誤った業界の落ち度

その原因として挙げられているものの1つが、複数のログイン手法の存在だ。緊急を要する売買や正規サイトがつながりにくいとき、ユーザーの利便性を考えてPCサイト、アプリのほか、簡易的なログインページ、外部のトレーディングサービスなどと連動したログイン機能などが用意されている。

ログインページが複数存在すると、単純に侵入ポイントが増えることになる。また正規ログインの画面が複数パターンあるとなると、フィッシング詐欺で偽サイトに誘導するのもしやすくなる。

証券会社によっては、このようなページからのログインは、「バックアップ機能」などというサービス名称がついていることもあるが、むしろ「バックドア（裏口）」に近い。

（写真：SBI証券ホームページより）

会社によっては、本人確認の追加認証に強度の弱い方式を採用していたところもある。例えば、追加認証をワンタイムパスワードではなく、生年月日という6桁の数字のみを使っていた会社も存在する。

ワンタイムパスワード方式を採用しながら、アイコン絵柄を2つ送り、それを画面上の10個の絵柄から選ぶという方式もあったという。10個のうち2個を選ぶパターンは90通り（順列）しかない。以下は、楽天証券の鍵アイコンによる追加認証サービスのイメージ画像だ。

鍵アイコンの例。この中からメールで送られてきた鍵アイコン2種類を選択する（写真：楽天証券ホームページより）

こうした追加認証についても、今後アップデートが求められる可能性がある。

【2025年5月8日21時45分追記】アイコンによる追加認証について、初出時に試行回数の制限なしとしていましたが事実と異なる部分があったため、その部分の表現を修正しました。

利便性やクレーム対策とセキュリティのバランス

例えば、秒を争う個人トレーダーが、たまたま手元にワンタイムパスワードやコードを受信できるスマートフォンがなかったため損失を被ったとする。

クレームを入れるユーザーが1人でもいれば、証券会社としては対応せざるをえない。ユーザーニーズに応えるための機能という認識だったと思われるが、本人確認を甘くする基準を間違えたとしか言いようがない。

被害が増えるにつれ、証券業界も動かざるをえなくなった。それが5月2日のJSDAの10社申し合わせになり、各社の損害の補填対応につながった。このとき、2FA認証の強制化、バックアップログインなど複数のログイン方法の集約なども発表された。

2019年ごろのキャッシュレス決済の不正利用、2024年の通信事業者のSIMハイジャック、その他金融サイバー犯罪で、本人確認や認証の強化は半ば常識とされていたはずなのに、証券業界の対応がこの状態だったのは意外ともいえる。