関連するソリューション
セキュリティサービス
セキュリティ製品
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 藤原 和紀
2025年、日本の証券業界はかつてないほどのサイバー脅威にさらされました。証券会社が被った詐欺被害額は6,200億円を超えています。
今回は、証券会社の詐欺事件を通して、認証方式について考えてみたいと思います。
事件の概要
今までは証券会社が狙われるケースは少なかったのですが、今回は違いました。背景としては資産を売却しても、代金は原則として資産保有者本人の銀行口座に振り込まれるため、現金化までのハードルが非常に高かったことが挙げられます。そこで犯人は他人の資産を使って小口株の大量買い付けを行い、相場を操作して利益を得るという方法をとりました。大量の資金が小口の中国株に流れ込み、株価が上がったところで自身の株を売り、現金化したとみられています。
証券会社が狙われた背景として、甘いセキュリティ対策が挙げられます。さまざまな業界で被害対策として多要素認証が導入されてきましたが、証券会社では被害の少なさから対策が遅れており、多要素認証は可能であるものの、必須とはしていませんでした。
今回の事件では、大量に購入された株が特定されており、それによって大儲けした者が犯人と考えられますが、海外ということもあり捜査の進展はわかっていません。さらに、使われた口座は正規に手に入れた可能性は低く、そこから犯人に結びつく可能性は低いと考えられます。
犯人の手口
証券口座を狙う詐欺の主な手口は、以下の通りです。- フィッシング詐欺
今回のケースでは大半がフィッシング詐欺によるものとされています。
以前からこのコラムでお知らせしていますが、フィッシング詐欺の件数は依然として高水準で推移しており、今でも証券会社を装ったフィッシングメールが送られ続けています。
- マルウェア感染
スマートフォンやPCに仕込まれたマルウェアが、証券アプリの認証情報を盗み取ります。このようなマルウェアをインフォスティーラー(Infostealer)と呼びます。インフォスティーラーとは、情報窃取に特化したマルウェアの総称で、感染した端末からユーザーの操作なしに機密情報を静かに盗み出すことを目的としています。
対策の実施
この事件を受け、金融庁は2025年7月15日に「金融商品取引業者等向けの総合的な監督指針」等の一部改正(案)を公表しました。具体的には、多要素認証の必須化、フィッシングに耐性のある多要素認証の実装、ログイン時や取引時にメールなどでの通知を送信する機能の実装が求められています。同日、日本証券業協会からも同様の基準が発表されています。これらの対策として、各社は対応を実施しており、パスキーの実装を予定しているところが多くなっています。ただし、パスキーの実装に時間がかかるため、まずはすぐにできるメール/SMSによるワンタイムパスワードから必須化しています。
パスキー認証とは
パスキー認証とは、パスワードを使わずに安全にログインできる認証方式です。FIDOアライアンスが提唱する規格に基づいており、生体認証(指紋・顔)やPINコードを使ってデバイス上で秘密鍵を安全に管理することで、従来のパスワードよりも高いセキュリティを実現します。サービス側には「公開鍵」、ユーザーのデバイスには「秘密鍵」が保存され、ログイン時にサービスが公開鍵で署名要求を出し、デバイスが秘密鍵で署名します。サーバーが公開鍵で照合することで、認証となります。署名の際は指紋・顔認証・端末のロック解除(PINなど)を使って秘密鍵の使用を許可し、秘密鍵の登録はユーザーの端末に保存され、他人の端末では使えないという特徴があります。パスワードのように覚える必要がなく、漏洩もしません。
具体的には以下のような動作となります。
- サービスにログイン
- パスキーの要求
- 生体認証やPINの使用
- ログイン完了
一般にはパスワードレスのためフィッシング耐性が高いとされていますが、必ずしも万能ではありません。
パスキーの注意事項
多くの場合では、パスキーはスマホに登録されることが多いと思います。PCと併用する場合はPCでログインし、スマホに通知が届くという流れになり、これをクロスデバイス認証と呼びます。リアルタイムフィッシングの場合、パスキー認証でもクロスデバイス認証の弱点を突いて突破される可能性があります。
リアルタイムフィッシングとは、ユーザーが入力している瞬間にリアルタイムに情報を盗み出し、即座に悪用する手口です。ワンタイムパスワードは入力した瞬間に正規サイトにリレーされるため、ワンタイムパスワードを使った多要素認証はセキュリティの意味がなくなります。
この状態で、PCでフィッシングメールを開いてしまうとログインを促され、偽サイトに誘導されます。そこでログインすると次にパスキー認証に移ります。あなたがログインしたのは偽サイトですが、入力はリアルタイムにリレーされ、犯人側は本物のサイトにログインします。その際、新しいPCで初めてログインする際には、QRコードとBluetoothを組み合わせた認証が必要となり、PCに表示されたQRコードをスマホで読み込み、BluetoothでスマホがPCの近くにあることを確認するハイブリッドトランスポートで、ログインの真正性を確認することができます。
しかし、すべてのPCでBluetoothが使えるわけではないため、多くのケースではこれをバイパスすることができます。バイパスされた場合、スマートフォンへの通知や従来型の二要素認証に切り替わることが多く、セキュリティ強度が低下する可能性があります。また、犯人は「パスキーが無効になったので、再登録が必要」などとだましてパスキーを解除させることもあるかもしれません。
対策としては、メールやSMSのリンクを踏まないというのは基本ですが、端末登録(デバイスバインディング)できるなら、なりすまし対策としては有効です。他人が未登録のデバイスでログインしようとしたら追加認証が必要となり、この時点で気付く可能性が高くなります。デメリットとしては対応しているサイトが限られることと、故障・紛失の際には手間が増えることです。
一方で、デバイス認証がCookieベースの場合、Cookieを盗まれてしまうと端末のなりすましが可能になる場合があります。インフォスティーラーにはCookieを盗み取るものがありますが、盗まれると端末登録の意味がなくなる場合がありますので、注意してください。端末登録の仕組みは犯罪防止のため、詳細までは公表していないケースが多いので、デバイス認証を過度に信用するのも危険です。
より安全に使用するにはパスキーだけではなく、クロスデバイス認証を利用せずに、PCであればWindows Helloの利用、あるいはスマホだけで取引を完結させるという方法が考えられます。
もう一つのパスキーの注意事項
証券会社によって異なりますが、パスキーは独自実装ではなく、Google/Appleサービスを利用するケースが多いようです。Google/Appleのパスキーを利用すると端末に保存された秘密鍵はGoogleパスワードマネージャーやiCloudキーチェーンというクラウドサービスを通じて、同一アカウント間で同期することができます。つまり、GoogleアカウントやAppleIDの管理には、今以上に注意が必要になり、万一盗まれた場合にはパスキーが悪用される可能性が高くなります。
パスキーの同期は無効化することができますが、端末の紛失時の復旧が面倒になる上に、アカウントが盗まれてしまうと再有効化される可能性があるため、あまり意味はありません。
認証のタイミング
なお、本来はパスキーやワンタイムパスワードが有効なのはログイン時ではなく、取引実行時です。株の売買の際に自分が操作していないのに通知が来れば、当然利用者もおかしいと気付くはずです。残念ながら取引ごとの認証はリアルタイムトレードと相性が悪く、わずかでも手を止めたくない方々からの評判がよくないため、証券会社も導入に積極的ではありませんでした。今回の事件に限らず、利用者側の過失がないことが保証の条件に含まれるケースが多く、今後は保証されない場合も増えると考えられます。
今後は自己責任として認証に対する意識も変わっていくと考えられますが、少なくともリアルタイムトレードが必要でない方は、セキュリティを優先することが望ましいです。
もう一つの認証手段:JPKI認証
一方で本人認証の決め手となるのがJPKI(公的個人認証サービス)認証です。JPKIとは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンラインで利用者本人の認証を公的に行うためのサービスです。国及び地方公共団体が共同して運営する地方公共団体情報システム機構(J-LIS)が中心となって構築・運営しており、信頼性は申し分ありません。具体的には、マイナンバー、またはマイナンバーカードの電子証明書機能を搭載したスマホを使って認証することを言います。
現在は対応サービスが多くありませんが、将来的にはスタンダードとなる可能性があります。日本独自の認証サービスであるため、海外のサービスがどの程度取り入れるかが注目されます。
JPKI認証の注意事項
前述の通り、JPKI認証は高い本人確認精度と信頼性があります。また所持認証と暗証番号入力による2要素認証が標準です。ICチップは耐タンパー性を持ち、物理的な不正読み取りに強いという特徴があります。その反面、マイナンバーカード自体には生体認証はありませんので、カードと暗証番号が漏れてしまうと、容易になりすましが可能になります。
また、マイナンバーカードの必要性と利便性が上がるほど、盗難のリスクが高まります。具体的にはカードの物理的盗難だけではなく、「スマホ用電子証明書搭載サービス」を悪用して犯人のスマホに搭載させる手口も考えられます。詳細な手口はここでは控えますが、成功すれば同時に暗証番号も漏洩するリスクがあります。
今後、2027年4月1日に犯罪収益移転防止法(犯収法)施行規則が改正され、従来のeKYC(Electronic Know Your Customer)が廃止されます。これにより非対面での個人認証はJPKIが一般的になるとみられています。そうなると、むしろ対面で本人確認を行う方が脆弱ということになりますので、対面でもJPKIの活用が想定されます。
このように暗証番号の入力が日常化・習慣化すると、セキュリティ意識が低下し、リスクが増す可能性がありますので、マイナンバーカードの利用には十分ご注意ください。
最後に
ここまでいろいろなリスクを書いてきましたが、パスキーはノーリスクとは言えませんが、パスワードと違い、漏洩のリスクは低く、生体認証を利用することで、他人に使われるリスクは減ります。なんといっても生体認証だけでログインできる利便性もありますので、認証方法としてはお勧めです。一方のJPKIもこれからのスタンダードとなり得ます。ただし、パスキーもJPKIも仕組みとしては強固ですが、利用者側に過失があれば突破される可能性が高くなります。
これまでも述べてきましたがメールやSMSのリンクは絶対に開かず、正規サイトにはブックマークなど、信頼できる方法でアクセスするようにしてください。そのうえで、情報の入力には慎重になるように心がけましょう。
一方で、高齢者などの情報弱者のデジタルデバイドが深刻になっています。攻撃の高度化に対応するため、認証を難しくする傾向がありますが、認証の複雑化が進むほど、セキュリティは強化され、弱者が取り残されていくという現状があります。認証の高度化は避けられない流れですが、それに伴う格差や排除を放置すれば、制度そのものの信頼性が損なわれます。技術だけでなく、制度と教育の三位一体となって「誰も取り残さない認証社会」を築くことが求められています。
では、次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
