本人確認が甘かった…証券｢口座乗っ取り｣10社が補償拒否から一変､セキュリティとのバランスを見誤った業界の落ち度

業界は、これを機会に、アプリやサイトのログイン手順、手法の棚卸しをして、対策を進めてほしい。

例えば、今回の規制で2FAを義務化したとしても、別のアプリからログインできる道が残っていたり、キャンペーンやサービス内容ごとに用意されたログイン画面などに見落としがないかの確認は重要だ。

外部の連携サービスとのアカウント連携、権限についても同様だ。メインのログインが2FAに対応していても、対応していないログイン画面や取引ページにバイパスできる遷移手順が残っていたら意味がない。

ユーザー側もIDとパスワードだけでログインできてしまうサイト、2FAやデバイス認証を設定しないサイト利用の危険性を認識すべきだ。

ユーザー側にできる対策は？

今回の証券口座乗っ取り事件について、状況を整理しつつユーザー側にできる対策を考えてみたい。

まず、侵入経路は各社の正規ログイン画面、取引画面からとみていいだろう。フィッシングメールに誘導され入力してしまったログインIDやパスワードが利用された。また、強度の弱いパスワードやパスワードの使いまわしをしていた場合、パスワードリストなどを使ったリスト型攻撃（総当たり攻撃）で侵入された可能性もある。

今回、アプリやブラウザなどログイン方法が複数あり、それらの認証方法や強度レベルがまちまちだったという指摘もある。この場合、ブラウザからのログインに2FAを設定していてもスマートフォンのアプリからは簡単に侵入されるといった事態が起こる。

以上を踏まえて、以下の対策はが考えられる。

パスキーとは、デバイス認証の一種だが、デバイス内の認証情報（指紋や顔認証）だけでなく第三者の証明書情報も利用するので、正規サイトを偽装してワンタイムパスワードを盗む攻撃の対策にもなる。

なお、証券各社は不正取引に対する補償を検討するとしているが、どの被害を不正アクセスのものにするかの判断基準、被害額の算定方法などで、ユーザーとの折衝は続く。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。