「多要素認証」の欠点

5月8日の金融庁の発表によると、不正アクセスによって流出したID・パスワードを使い、勝手に株式が売買された不正取引の件数は、1月からの約4カ月間で3505件、取引額は約3049億円に達したという。今年に入って不自然な値動きを示した銘柄はすでに100を超え、被害が確認された証券会社は少なくとも9社にのぼる。

明らかになった主な犯行手口は、古典的だが依然として強力な「フィッシング詐欺」。「緊急」「重要」といったタイトルのメールを個人投資家に送りつけ、メールに記載された、本物に酷似した偽サイトに誘導する。そこでIDやパスワードを入力させて盗み取り、乗っ取った正規の証券口座を「買い用」として利用し、中国株など海外株を中心に、低価格で売買が少ない銘柄を大量購入する。そして、価格を吊り上げたタイミングで、不正に開設した「売り用」の口座で保有株を売却して膨大な利益を得るという仕組みだ。2000年に施行された不正アクセス禁止法に違反するだけでなく、「相場操縦」に該当する行為は金融商品取引法で禁止されている。

この重大な金融犯罪を防ぐため、金融庁が証券会社に呼びかけているのが、IDやパスワードとは別の手段でも本人確認を行う「多要素認証」の設定だ。業界団体である日本証券業協会も義務化を検討しており、4月30日時点で、すでに67社の証券会社が「多要素認証」をインターネット取引のログイン時に必須化すると発表。HP上などで啓発を行っている。

「知識情報（IDやパスワードなど）」「所持情報（ICカードやスマートフォンなど）」「生体情報（指紋や顔など）」の3要素のうち、2つ以上を組み合わせて行う「多要素認証」を導入すれば、たとえフィッシングやマルウェア（悪意のあるプログラム）を通じてID・パスワードが盗まれたとしても、他の要素がわかならければログインできない。セキュリティ強化と不正アクセス対策の最善手であることは間違いないだろう。

しかし、「多要素認証」も完全ではない。最近はID・パスワード（知識情報）とスマートフォンに送られるワンタイムパスワード（所持情報）を、ともに抜き取るフィッシングサイトも存在しているため、テキストのみの追加認証にはリスクが残る。「生体認証」を組み入れることが最も効果的だが、現実は取引に使用するPCに生体認証機能が付帯されていないことが多い上、証券会社にとっても、生体認証システムの導入にかかる多額のコストがネックになる。

今後の資産防衛

やはり重要なのは、個人と証券会社のそれぞれが資産防衛の責任を果たし、社会全体で重層的な防御壁を築き上げることではないか。投資家一人ひとりが、安全なネットワーク環境を自ら維持・構築する意識で認証情報を管理することは大前提。複雑で強固なパスワードを設定し、決して使い回さず、定期的に見直す。パスワード管理ツールの導入も検討すべだろう。SMSだけでなく、認証アプリや物理トークンなど、より突破されにくい多要素認証の方式を選択すること、OSやセキュリティソフトを常に最新の状態に保つ習慣をつけることも対策の一端となる。

一方、証券会社はシステムやセキュリティの強化、不正検知能力の継続的な向上が不可欠だ。アクセスパターン分析やAIを活用した不正取引検知システムの高度化は喫緊の課題であり、より強固な認証オプションの導入を推進する必要がある。被害を受けた楽天証券が、普段と異なるPC等の端末からログインがあった場合に電話番号を利用した追加認証を行う「リスクベース認証」を3月下旬から導入し、被害件数の減少に至っていることは対策のヒントになる。

そして何より、証券会社にとって信頼維持の生命線となるのは、迅速で正確な情報提供とサポート体制の充実だ。当初、証券会社各社は、IDやパスワードの漏えいによって生じた損失については「責任を負わない」と約款で定めている上、金融商品取引法で禁じられている「損失補てん」に該当する可能性があるため補償に慎重な立場を示していたが、事態の深刻化を受け、被害が確認された9社を含む大手10社が補償に応じる方針を決定。投資家保護優先の立場から、金融庁も不正アクセスによる被害であれば金融商品取引法の規制には該当しないという方針を示した。

「多要素認証」の義務化など、金融業界のセキュリティ基盤をワンランク底上げすることはもちろん、警察や専門機関との連携による犯罪メカニズムの解明、被害に対する柔軟で迅速な初動が、「貯蓄から投資へ」の気運を失速させないための鍵になるだろう。