昨今、「証券会社の口座乗っ取り」というニュースが飛び交っています。これは、悪意のある第三者により、証券会社の口座に不正にログインをされてしまい、本人になりすまして勝手に資金を引き出されたり、取引を行われてしまうという事件です。
このため、各証券会社は「多要素認証」という方式でログイン認証の強化を早急に進めています。各証券会社とも、2025年5月後半から6月前半を目途に「多要素認証」方式を設定していないと、ログインや取引ができなくなるようにしていく模様です。
この認証方式の変更(強化)方法は、各証券会社によって違うので、早めに自身がお持ちになっている証券会社のHPにて確認するとよいでしょう。
※可能であれば、各証券会社が認証強化を開始する前に設定をしておくとよいでしょう。証券会社が認証強化を開始してしまうと、自身の口座にログインすることすらできなくなり、設定変更が大変面倒になります。
ちなみに、この「多要素認証」というのは、「2つ以上の異なる認証方式」という意味です。
従来は「ログインID+パスワード」というだけの認証方式でした。これは「本人しか知らない情報」なのですが、これを何らかの方法で盗み出すことにより、第三者が勝手にログインをすることができてしまいました。
この「本人しか知らない情報」以外に、例えば「本人しか持っていないもの(メールアドレスやスマホ)」や「本人だけの身体的特徴(指紋や顔認証)」を組み合わせることで、認証(ログイン)することの難易度をあげようというのが「多要素認証」です。
なお、各証券会社で採用している「多要素認証」としては、以下のどちらかが多いようです。
- ワンタイムパスワード
本人が持っているメールアドレスに、一時的にしか使えないパスワードを連携し、そのパスワードを入力することで認証する方式です。このパスワードは、一時的(数分程度)しか使えずにすぐに切り替わるため、本人しか持っていないメールアドレスをみて入力されたパスワードであるということが認証の難易度をあげてくれます。 - 認証アプリ
自分のスマホに「認証アプリ」をインストールし、PCサイトなどでのログインと連動して、認証アプリ側に「ログインしようとしていますか?」と確認をする方法です。利用者は自分のスマホで「はい、ログインします。」といった応答をすることで、はじめてログインが可能となります。このため、第三者が勝手にログインをしようとしても、認証アプリに応答をしないとログインができない仕組みになっています。
従来の「ログインID+パスワード」の認証方式に加えて、上記の「多要素認証」を組み合わせると安心ですので、可能であれば早めに設定をしておくとよいでしょう。
最後に、「ログインID+パスワード」のみの認証方式であったときに、悪意のある人がどのようにパスワードを知りえるかというと、多くの場合は「フィッシングサイト」と呼ばれる偽ウェブサイトを使った方法でパスワードを盗み取っています。
これは、本物の証券会社のログインページとそっくりの偽ウェブサイトをつくり、詐欺メールやSMS等を送り付けて偽ウェブサイトに誘導し、ログインIDとパスワードを入力させて盗み取るという方法です。
上記で「多要素認証」について記載しましたが、一番大切なのは、このような偽サイトに引っかからないということです。
悪意のある人は次の詐欺方法を次々と考えてきます。「多要素認証」を設定したとしても、このような偽サイトに簡単に引っかかってしまっては、「多要素認証」すら突破されてしまうことも考えられます。
怪しいと思われるメールやSMSは多いですが、そこに張られてるURLをクリックすると偽ウェブサイトに誘導されてしまうので、必ず「いつものアクセス方法」でログインする(例えばブックマークを張っていればそこから入る)ことをように心がけるようとよいと思います。
コメント