《パスワードレス広がる突破口になるか》証券口座乗っ取り｢日証協新ガイドライン｣フィッシングに耐性のある認証とは…本命のパスキーに課題も

これまで説明したように、パスキーの導入はフィッシング対策として大きな効果が期待できるが課題もある。

1つには、パスキーは策定されたばかりの規格ということで開発者側が慣れておらず使いにくいサイトも見受けられること、もう1つは利用者側もパスキーに慣れていないことから、パスキー導入当初は、ある程度の混乱は起こるであろう。

業界ならではの特徴と慣行、今後のセキュリティ対策

これまで述べたように、現在被害手口の主流と考えられるフィッシングに対してはパスキーが大きな効果が期待できるが、そうなると攻撃者側も手口を変えてくるだろう。例えば、先述のインフォスティーラーが考えられる。この場合、パスキーだけでは十分な対策にはならない。

そのような未来を想定した場合に考えておきたいのが、取引に対する二経路認証だ。

これは、例えばパソコンで金融商品の売買をしたら、スマートフォンでその取引の承認をするというものである。パソコンとスマートフォンという二種類の経路で認証することから二経路認証と呼ばれる。パソコンとスマートフォンを同時にウイルス感染させることは難しいことから、安全性の強化が期待される。

しかし、証券会社は取引認証には否定的であるようだ。これは、銀行の振込などと違って証券の売買などは即時性が要求されるからであろう。

とはいえ、利用者の大半はNISA制度により年に数回取引をする程度のライトな層であることを考えると、少し煩雑でも安全性の高い認証手段を用意することは証券取引の安全性に大きく寄与すると提言しておこう。

もう10年以上前から、パスワード認証をやめてパスワードレスの認証に移行するべきだと言われ続けてきたが、現実には今でもパスワード認証が主流のままである。しかし、今般のオンライン証券口座への不正取引事件がパスワードレス認証の普及の突破口になると予想する。その意味で今回の事件は、エポックメイキングな出来事と言えるだろう。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、徳丸 浩さんの最新記事をメールでお知らせします。