aki_iic’s blog

己の欲せざる処人に施す事無かれ、狂人の真似するは即ち狂人なり

トップ > 危機管理 > 多要素認証
最終更新日

多要素認証

危機管理 IT詐欺師 科学・技術・論文・レポート等

 impress watchの記事より。

 最近話題のネット証券(楽天証券など)で発生している口座乗っ取りへの対応として多要素認証の必須化(えっ、2段階認証もしてなかったの?銀行でもやってるのに)・・・らしい:

www.watch.impress.co.jp

日本証券業協会は、証券会社各社のインターネット取引において、フィッシングやマルウェアによる顧客情報搾取による不正アクセスやなりすまし取引が増加していることを受け、多要素認証の「必須化」を進める。25日には、多要素認証を必須化する証券会社58社のリストを公開した。

3月下旬以降、楽天証券SBI証券などにおいて、フィッシングによるIDやパスワードの不正取得が原因と見られる不正アクセスや取引が確認されている。複数の証券会社でこうした被害が広がっていることから、金融庁も4月18日に注意喚起。日本証券業協会ではワンタイムパスワードや2要素以上を組み合わせる「多要素認証」の導入を推奨していた。

引用おわり。

 もっとも多要素認証でもフィッシングサイトプロキシでは無駄らしいので更に進んだ対策が必要という情報もある↓

www.youtube.com

まあ、可愛らしいキャラクタはほっといて・・・10分の内前半2分で手口は理解出来るので短気な方でなければ一見の価値があるかもしれません。

 何かと面倒な多要素認証ですがFIDOの如きPhysical securityを併用すれば(これがまた面倒なのだが・・・でもスマホや業務PCで指紋であれば標準装備か・・・後はユーザ次第)改善はされるそうだが・・・イタチごっこですな。

 ユーザのリテラシが試されるのでありました(まあ、無限に続く訳ですが)。

#全然関係無いのですがChromeが勝手に生成しやがるパスワード(=ブラウザにPWを管理)にムカつくのは私だけでしょうか(マシンにコントロールを奪われると発情してしまう私:怒:)。

 

20250504 00:19追記:ロイターの記事より。保証方針表明らしい:

jp.reuters.com

[東京 2日 ロイター] - 日本証券業協会は2日、証券口座の乗っ取り被害に関して、証券10社が一定の補償を行う方針で申し合わせたと発表した。SBI証券、楽天証券野村証券大和証券など大手・ネット証券が対象で「各社の約款にかかわらず、一定の被害補償を行う」としている。
三者によるインターネット口座の不正アクセスで、株式が勝手に売買されるなどの被害が相次ぐ中、協会は関係各社と協議を実施。金融商品取引法では原則として顧客への損失補填が禁止されているが、今回は例外的に補償の方針で一致した。
補償の実施にあたっては、被害を精査し、顧客によるIDやパスワードの管理状況、不正アクセス防止のための証券会社の注意喚起等を含む対策など個別の事情に応じて対応する。

引用おわり。

 これに限らず例えが悪いが知恵比べなので相手はnの獲物の中で間抜け(迂闊でものろまでもどうとでも)を標的にすれば良いだけの事で犯人特定も難しい状況では・・・似た様な運用(別段証券専業に限らず例えば401K関連とか?)をしているサービスでも有りえそう(根拠なし)。

 意外に思われるかもしれませんが国内金融機関は専用線VPN等)でインターネットとは分離されてる場合が多い(情報が古いかもしれませんが国内金融機関やJPはそうだった筈)ので安全・・・と慢心しているとネットバンク(今回は証券)のセキュリティ(ポリシーもユーザリテラシも)ヨワヨワなのでカモ狩りの対象になったという事なのでしょう(後知恵ですが)。

 振込金額を10万円/日以下に制限しても今回の証券では引っ掛からないし他にも色々パタンはあり得る訳で・・・もっともユーザにとってはID,PW管理だけでも煩雑で今では他要素認証が常識として求められる中で次はPhysical serurity(現実的には指紋ですよねぇ)への移行を推奨という名の矯正(或いは強制)を監督官庁(ほれ、金融庁さま、出番ですぞ:)から指導されるのかもしれません。

 そしてまたそれを突破する手口が現れたら更に複雑な・・・と、相手は国家レベルの犯罪者プロ集団だからセキュリティの専門家でもない一民間金融機関が対抗するのは難しく・・・とか考えてるとネットワーク恐怖症になってジジババの如く銀行・証券窓口にしか行けない人間になるのも金融機関としては困る訳で・・・

 いずれにせよ現実はIT詐欺師共が抜かす様な(パスワード不要だって? 失笑:)虚構の技術(虚構と言ってしまおう)とは真逆な地獄の様な(或いはカモ釣り放題)実態がある訳で・・・これはもっと緩い流通業界でも時折みられるし業界問わず情報流出が日常化している現実を踏まえると・・・

 IT詐欺師さん、何やってるんですかねぇ・・・もっと金出さないと駄目なんでしょうか?

 

20250607 22:01追記:5月の被害総額についてiTmediaの記事より。

www.itmedia.co.jp

 金融庁は6月5日、ネット証券口座への不正アクセスによる不正取引について、5月の被害状況を公表した。不正取引件数は2289件、不正に売却された株式の総額は1101億円。4月(2910件/約1540億円)よりは減ったが、大きな被害が続いている。

引用おわり。

 確かに手口が巧妙になっていはいるのだが・・・今回は多段階認証すらやってない(ユーザのリテラシ含む)ネット証券会社のセキュリティポリシー(というか〇〇さと言うか)に起因するとも言えるので損害負担をするらしいが・・・

 監督官庁さんも件数ベースも大切かもしれないが金額ベース(つまり大口口座保有者が多い業態)にも着目した方が宜しいのではと余計なお世話。

 その昔、銀行は自分の金だから大切に?運用するが証券は他人の(自分の資産ではない)金だがら雑に使う・・・とかいう話を聞いたことあるが(単なる伝聞です)そんなもんかもしれませんね:)