証券口座乗っ取り再燃、不正アクセスさらに巧妙化になっている。
証券口座が不正アクセスで乗っ取られ、勝手に株式が売買される問題が再燃している。
金融庁によると、8月の不正取引の売買額は約514億円で、2か月連続で前月より増えた。
証券業界は対策を強化しているものの、新たな手口も横行している。
企業の対策に加え、個人の自衛意識向上も重要となる。
乗っ取りの手口は、利用者を本物と似た偽のウェイブサイトに誘導し、IDやパスワードを入力させて盗むフィッシング詐欺が代表的だ。
証券会社は対策として、インターネット取引のログイン時に複数の手段で本人確認をする「多要素認証」の導入に取り組み、7月時点で79社が設定必須化を決めている。
金融庁も注意を呼びかけ、業界とともに強固な対策を進めると強調している。
こうした中でも被害が絶えないのは、手口がさらに巧妙となったためだ。
顧客が偽サイトに入力した個人情報を犯罪者側が直後に把握し、正規サイトに即座に不正アクセスする「リアルタイムフィッシング」が増えているとみられる。
リアルタイムフィッシングは、正規のユーザーと本物のウェブサイトの中間に攻撃者(フィッシングサイト)が割り込んでやり取りを中継するサイバー攻撃。
通常のパスワードだけではなくワンタイムパスワードも中継するため、多要素認証であっても不正ログインを許してしまう。
この手口では通常のパスワードに加えて、一度きりのパスワードを使う方式の多要素認証を破られる。
注意喚起だけでなく、リスク回避の金融教育が必要不可欠だ。
SBI証券や楽天証券などを中心に、フィッシング耐性のある認証方式「パスキー」を導入したり検討したりする企業が増えている。
パスキーとはFIDO(ファイド)2という仕様に基づいた、パスワードを使わない認証方法である。
FIDO認証などとも呼ばれる。
パスワードがネットワーク上を流れないので、リアルタイムフィッシングを防げる。
ただ導入には課題もある。
開発にコストがかかる。開発に慣れていない現場もあるだろう。
セキュリティの専門家はフィッシング対策として導入すべきだと強調するものの実装のハードルは高いという。
証券会社はユーザーの資産を守るために、セキュリティの向上を目指しているが、ユーザーとの軋轢(あつれき)がそれを阻む壁となっているケースもある。
安全性のために利便性が低下する場合があることを理解する必要がある。
安全性の欠如により被害に遭うのはユーザーなのだから。
メールに記されたリンクを開かないほか、証券会社のサイトはブックマークしてアクセスすることなどを対策すること。
自らの資産を守る力が必要、重要になってくる。