実家の両親が利用するスマフォアプリに多要素認証を設定してきました
2025年5月、日本社会で話題になっているのが証券会社を騙るフィッシング詐欺。
インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています(金融庁) 証券会社口座 不正アクセス被害相次ぐ フィッシング詐欺に注意
フィッシング詐欺でIDとパスワードが盗まれ、勝手にお金が引き落とされたり、株が購入されたりという被害が発生しています。
今般のフィッシング詐欺等による不正アクセス等の補償対応について(SBI証券)
今般の不正取引被害に対する当社の補償方針について(楽天証券)
当初証券会社は「約款では多要素認証など適切なセキュリティ対策を施していない場合の被害は補償対象外」でクローズしようとしていたようですが、被害人数、被害額とも膨大なため個別に補償することとなったようです。 證券会社の気持ちも分かります。今やIDとパスワードではアカウントを守ることは出来ません。特にお金や個人情報が関わるサービスについては極力ユーザに多要素認証を導入してもらいたかったはず。しかし単純なパスワードの利用やパスワードの使い回しをユーザはやめてくれません。「だから言ってたのに・・・」と喉から声が出かかっているのではないでしょうか。
禍転じて福と為す、と言えるでしょうか。各証券会社が多要素認証を「推奨」ではなく「必須」に強制アップデートすることを決定しました。これまでそんなことをしたらユーザから「そんな面倒な、今でも問題起こっていないし、私は今のままでよい!」というクレームが来る可能性もあり、及び腰になっていたのかもしれません、しかし今回のように実害が発生し、以下のようなYahooニュースでも取り上げるようになれば、逆に顧客からは「なんで私の利用しているWebサイトは多要素認証が設定できないのだ!」となるかもしれません、書いていて理不尽だな、と思いましたw
証券会社のログイン「多要素認証」必須化へ GWに設定見直しを
僕のところにお実家の両親から「証券会社からワンタイムパスワードを設定しろ、と連絡が来たのだけど、何をすれば良いのか分からない。セキュリティスペシャリストなんとかしてくれ」と連絡がありました。今年のゴールデンウィークは両親のスマフォのセキュリティ設定を行っていました。
高齢者にとっては現代のテクノロジーについていくのは大変だと思います。証券会社が用意した「ワンタイムパスワードを設定する方法」は丁寧に書かれていて、自分には理解しやすかったのですが、年配の方には今までやったことないことに取り掛かること自体面倒だ、となりがちです。 そもそも一般の人にとって「ワンタイムパスワード」というのは日常生活において見たことも考えたこともないものです。自分は専門家なので、ワンタイムパスワードの技術背景や、なぜこれを導入すると安全になるかを説明できましたが、普通の人はわざわざそんなのを調べたりしませんし、AIに聞こうとも思わないでしょう。この「よく分からないものを設定しろ」というのはストレスがあり、一般の人にとってはモチベーションが上がらない作業になっていました。本来ならサービス提供側がセキュリティを堅牢にしたいところですがそれは無理で、ユーザ側がやらないといけません。しかし本来デジタルはこのような年配の人にとって特に恩恵が多いモノとなるべきです。そこは地道な啓発が必要になるのでしょう。
今回親のWebサービスのログイン認証を見ていて、サービスを提供する側にもユーザに優しくない状態になっているな、と思いました。
- サービス(企業)ごとログインパスワードの文字列長、文字の種類が異なるので、ユーザとしては分かりにくくて混乱する。パスワード生成サイトで作ったパスワードも、あるサイトでは入力可能だと、別のサイトでは入力できない、などパスワード作成をやり直しするのが面倒。
- 現在のブラウザにはパスワードマネージャが標準搭載されているが、サービスによってはログイン画面がIDとパスワードだけではなく他の入力項目が存在する。その場合パスワードマネージャの自動入力が正しく動作しない。例えば「支店コード」を入力する欄が存在する場合、支店コードのテキストボックスにログインIDが自動入力され、結局手作業で入力し直さないといけない。
- 多要素認証のワンタイムパスワードをアプリで登録した場合、スマフォの機種変を行う際は、事前に新たなスマフォでワンタイムパスワードを登録する必要があることを知らなかった。これをやり損ねた場合また面倒なことに。
セキュリティ対策が一般の人向けに追い付いていないな、という印象を受けました。難しいですねホント。
しかしこのように多要素認証を設定しても絶対ではありません。
はじめから分かっていたことであって、なのに多要素認証を証券業界でこぞって強制にしたばかりなのにどうするんでしょうね / “証券口座、ワンタイムパスワードも突破の恐れ 同時進行で乗っ取り:朝日新聞” https://t.co/7RVxU72z7D
— 徳丸 浩 (@ockeghem) June 8, 2025
本物そっくりの偽サイトを作って詐欺メールなどで利用者を誘導。IDとパスワードに加えてワンタイムパスワードも偽サイトのログに出力するようにして、被害者の入力と同タイミングで本来のサイトに不正ログインするという仕組みです。多要素認証が無い場合に比べると攻撃の難易度は高いですが、それでも悪質な犯罪者はやってのけるでしょう。多要素認証できた、一安心…ではなく、引き続き警戒していただきたいです。