2025年春、証券業界ではセキュリティ強化の流れが一層加速しています。
日本証券業協会の発表により、野村証券や楽天証券を含む大手10社をはじめとした58社が、インターネット取引における「多要素認証(MFA)」の必須化を決定しました。
不正アクセスやフィッシング詐欺の被害が急増する中、オンライン取引全般における本人確認の重要性が改めて注目されています。
本記事では、多要素認証必須化の背景にある最新の被害状況と、証券会社各社が講じている具体的な対策について詳しく見ていきます。
1. 証券会社58社が多要素認証の必須化を決定
背景にあるフィッシング被害の急増
2025年2月から4月16日までの約2カ月半の間に、日本国内の証券会社においてフィッシング詐欺を通じた不正アクセスと不正取引が急増しています。
金融庁の発表によると、不正アクセス件数は3,312件、不正取引件数は1,454件にのぼり、売却金額は約506億円、買付金額は約448億円に達しました。
これらの被害の背景には、証券口座に不正ログインした犯人が保有株式を売却し、その資金で中国株や流動性の低い小型株を大量に購入するという手口が多く確認されていることが挙げられます。
最近では、本物の証券会社のウェブサイトをほぼ完全に模倣した偽サイトが多数出現しており、見た目だけでは判別が難しくなっています。
こうしたフィッシングサイトの巧妙化により、従来以上に利用者が誤って情報を入力してしまうリスクが高まっていることも、被害拡大の一因となっています。
ターゲットとなった6社と被害の実態
特に被害が集中したのは、楽天証券、SBI証券、野村証券、SMBC日興証券、マネックス証券、松井証券の6社です。
これらの証券会社はいずれも、インターネット取引に注力している点や、多様な顧客層を抱えている点が共通しており、フィッシング詐欺の標的にされやすい状況にあったと考えられます。
また時代的背景として、近年の投資ブームにより非対面取引を中心とする新規口座開設者が急増していることも影響していると見られます。
新たに投資を始めた層の中には、オンライン取引におけるセキュリティ意識が十分に高くない利用者も多く、こうした状況がフィッシング被害の拡大に拍車をかけたと考えられます。
こうした大規模な不正アクセスの発生は、一般投資家の間に不安感を広げ、金融市場全体への信頼にも影響を及ぼしかねない重大な問題です。
2. 多要素認証必須化に向けた業界全体の対策と具体事例
金融庁が呼びかけるインターネット取引の安全対策
金融庁は、不正アクセスやフィッシング詐欺の被害が相次ぐ中、インターネット取引を行うすべての投資家に向けて、セキュリティ対策の徹底を呼びかけています。
特に重視されているのは、正規のウェブサイトを事前にブックマークしておき、不審なメールやSMSに記載されたリンクを不用意に開かないことです。
加えて、ワンタイムパスワードや生体認証といった複数の認証手段を組み合わせる「多要素認証(MFA)」の活用も推奨されています。これにより、仮にIDやパスワードが漏洩しても、追加認証によって不正ログインを防ぐことが可能になります。
さらに、パスワードの使い回しを避け、定期的に変更するなど、個人レベルで実施できる基本的な対策を講じることでも、被害リスクを大幅に低減できるとしています。
日本証券業協会(日証協)が推進する認証強化施策
日本証券業協会も、加盟する証券会社に対し、セキュリティ強化を目的とした具体的なガイドラインを示しています。
その中核となるのが、インターネット取引時の「多要素認証」の導入と必須化です。
2025年4月時点で、すでに58社が多要素認証の導入を決定しており、今後さらに拡大する見込みです。
日証協が策定したガイドラインでは、ログイン時や取引時に加えて、出金依頼や登録情報の変更など、複数のフェーズで追加認証を求める仕組みが推奨されています。
こうした取り組みにより、サービスの利便性を保ちつつも、システム全体を網羅的に守るセキュリティ体制の構築が進められています。
楽天証券における多要素認証必須化の取り組み
民間企業における対応事例として注目されるのが、楽天証券の動きです。
同社は、ログイン時にメールアドレス宛へ送信される認証コードを使った多要素認証を導入しており、今後はこれを原則としてすべてのユーザーに対して必須化する方針を示しています。
特に、ゴールデンウィーク期間中などを活用して、早期に多要素認証の設定を行うよう利用者に呼びかけており、設定方法についても公式ウェブサイト上で詳しく案内しています。
さらに、リスク検知時の追加認証や、ログイン通知メールの導入、取引暗証番号の定期的な変更といった多重的な対策も整備されており、利用者自身が自らの口座を守るための環境が着実に整えられています。
3. 電話番号認証による多要素認証の具体例――Infront Security
パスワード詐取やリアルタイムフィッシングを防ぐ端末認証の仕組み
多要素認証(MFA)においては、認証要素として「知識情報(パスワードなど)」「所持情報(端末・電話番号など)」「生体情報」のうち複数を組み合わせることが基本とされています。
この中でもInfront Securityが提供するソリューションは、ID(電話番号)とユーザーが保有する電話機器の端末情報を組み合わせた、独自の特許技術による認証方式が特徴です。
特に注目されるのが、リアルタイムで行われるフィッシング詐欺への耐性です。
たとえば、ユーザーが偽サイトに情報を入力してしまい、IDが攻撃者に漏洩した場合でも、Infront Securityの認証システムではログイン時に正規の端末情報との一致が求められます。
攻撃者が認証情報を取得しても、正規の端末を保持していなければログインは成立せず、この端末情報の照合によってフィッシング攻撃を根本から遮断する仕組みとなっています。
設定もシンプルで、画面に表示される電話番号にワンタップで発信するだけで登録が完了し、以降は登録したID(電話番号)を入力するだけで自動的に認証が行われます。
また、スマートフォンに限らず、固定電話やブラウザ環境との組み合わせにも対応しており、煩雑なパスワードの管理や入力も必要としないため、ユーザーの利便性を保ちながら高いセキュリティを実現しています。
某大手ネット証券にも採用された電話発信認証の実例
Infront Securityと同様の認証技術は、別プロダクトという形で、すでに某大手ネット証券の取引手続きにも導入されております。
同社では、「多要素認証設定」の項目において、ログイン時の認証方法として電話番号認証を設定できる仕組みを提供しています。
これまでは、ログイン時においては通常のパスワード入力に加え、オプションとして「専用ダイヤルに発信後、パスワードを入力することでログインが完了する」という二段階認証方式を選択できるようになっていました。
しかし、今回の事案を受けて、この二段階認証オプションをログイン時の必須プロセスとして適用する方針となっています。
この仕組みにより、ユーザー本人が実際に電話を受け取れる環境にいることが確認され、不正ログインの防止に高い効果が期待されます。
このように、電話番号を用いた認証方法は、既存のパスワード認証に比べて安全性が高いだけでなく、ユーザーの利便性も損なわないことから、今後の標準的な本人確認手段として注目を集めています。
