近年、AIが悪用された高度なフィッシング攻撃の登場により、パスワードやSMS OTPといった従来の認証方式の脆弱性が露呈しています。
こうした背景から、パスキー(生体認証を含むFIDO準拠の認証方式)は、フィッシングに強く安全な代替手段として注目され、金融サービスをはじめ導入が進んでいます。しかし2025年7月末、大手消費者金融のアコムがセキュリティ上の理由から新規の生体認証登録を一時停止すると発表し、その“絶対的な安全神話”に揺らぎが生じています。
本記事では、アコムの発表内容とその背景、そして生体認証の限界を補う具体的な解決策について解説します。
1. アコムが生体認証登録の一時停止を発表
2025年7月31日に緊急告知
アコム株式会社は2025年7月31日付で、公式サイトにて「新たな生体認証登録を一時停止する」との緊急告知を発表しました。同社は、偽のログインページで利用者が情報を入力する被害が確認されたため、被害拡大を防ぐ目的で新規登録を一時停止したと説明しています。
これにより、アプリの初回ログイン時やログイン後に生体認証の新規登録を行おうとするとエラーが表示され、手続きが完了できない状態となっています。すでに登録済みの利用者には影響がないとされるものの、セキュリティへの信頼性に疑問を抱かせる結果となりました。
利用できなくなるサービス一覧と代替手段
今回の一時停止措置は「新規の生体認証登録」のみが対象で、既存ユーザーは従来どおり利用できます。一方で、未登録の利用者は、ローン申込や契約手続きの一部に支障が出るほか、以下の機能が利用できなくなります。
- スマホATMでの借入
- クレジットカード情報の確認
- 暗証番号照会
- アプリ経由でのApple Pay・Google Pay登録
急ぎで融資を受けたい利用者については、「口座振込による借入」を代替手段として利用できると案内されています。
登録停止はあくまで一時的な措置とされていますが、再開の時期は明らかにされておらず、利用者は当面の間、最新の発表を確認しながら対応する必要があります。
2. なぜ“登録停止”という強硬策に至ったのか
消費者金融を狙うフィッシング詐欺の急増
2024年秋ごろから、消費者金融の利用者を狙ったフィッシング詐欺が急増しています。典型的な手口は、偽のメールやSMSを送付し、あるいは検索広告を経由して偽サイトへ誘導するというものです。
消費者金融には、攻撃者にとって狙いやすい特性がいくつかあります。
- スマホからの利用が中心であり、リンクを踏んですぐにログインするケースが多い
- 急ぎで資金を必要とする利用者が多く、冷静な判断が難しい
-
アプリ内でATM出金や決済、暗証番号照会といった価値の高い機能に直結している
攻撃の流れとしては、偽サイトに誘導された利用者が会員番号やパスワード、暗証番号を入力し、その直後に不正利用や登録フローの乗っ取りが行われるというものです。本物そっくりのドメイン(typoやPunycode)、緊急を装う文言、さらには偽のサポート電話を併用する例も確認されています。
今回のアコムによる登録停止も、こうした背景にある攻撃環境を踏まえた対応であり、特定の企業だけでなく業界全体に及ぶリスクが存在していることを示しています。
生体認証の導入目的と裏目に出たリスク
生体認証やパスキーの導入は、本来パスワード依存からの脱却やフィッシング耐性の向上、さらにスムーズなログインによるユーザー体験の改善を目的として進められてきました。しかし今回の事例では、その狙いとは逆に、登録(紐づけ)の工程が新たなリスクとして浮き彫りになりました。
偽サイトでIDやパスワードを入力してしまうと、攻撃者が正規アカウントに自分の生体情報や端末を紐づけることが可能になります。
一度生体認証が有効化されれば、その後は指紋や顔認証だけでATM出金や決済、暗証番号照会といった重要機能にアクセスできるため、被害範囲は一気に拡大します。こうした構造的な脆弱性を受け、生体認証の登録プロセスは改めて見直されています。
攻撃者に“自分の指紋”を登録させないための停止措置
今回の「登録停止」は、攻撃者による不正な生体情報の登録そのものを封じる措置です。登録を止めることで、被害の拡大を即座に断つ狙いがありました。
過剰に見える措置ではあるものの、即効性という点で合理性があり、他の選択肢には以下のような課題が残ります。
- ATMや決済機能の全面停止:影響範囲が広すぎ、既存ユーザーの利便性も失われる
- パスワード強制変更:既に入力された情報の悪用を防ぐには不十分
- リスクベース認証の強化:登録乗っ取りそのものを封じる決定打にはならない
結果として「新規登録の凍結」が、最も被害拡大を防ぎやすく、既存ユーザーへの影響も抑えられる対応策だったと考えられます。
今回の事例を受け、登録工程をより堅牢にする具体的なセキュリティ手法が求められています。
3. 生体認証の限界とInfront Securityの解決策
電話番号×端末認証──二重の守りで不正を徹底ブロック
Infront Securityの中核となるのは、独自の特許技術に基づいた「電話番号」と「端末情報」を組み合わせた二重認証です。これにより、単に電話番号を知っているだけでは不正にログインできません。
端末情報は複製が極めて難しく、既存の認証情報のようにまとめて盗まれる心配がなく、たたとえ電話番号が漏洩しても正規に登録された端末以外からはログインできません。
加えて、認証には電話網を利用するためインターネット経由での不正アクセスが不可能であり、発信記録が残ることで、万が一不正が発生した場合の追跡や警察協力も容易になります。
直感的に使える認証フローで、利便性と低離脱率を両立
Infront Securityの認証フローは、操作のシンプルさに特徴があります。
初回は画面に表示される専用番号にワンタップで発信するだけで自動認証と切断が行われ、2回目以降はID(電話番号)を入力するだけで認証が完了します。パスワードの管理負担を軽減し、ワンタイムパスワードの入力が不要になります。また、通話料も発生しません。
さらに、専用アプリのインストールを求めず、ブラウザ上でタップ操作を中心に完結できる設計となっているため、利用者はスムーズに手続きを進められます。 この仕組みにより、多要素認証でよくある「入力の煩雑さ」や「操作ミスによる離脱」が起こりにくく、特に高齢者やデジタルに不慣れな層でも直感的に利用できる点が強みです。
幅広い導入実績──誰でも使える認証で金融業界にも最適
Infront Securityは、金融、通信、行政、公共インフラなど幅広い業界で導入が進んでいます。
特に与信・審査やeKYC(オンライン本人確認)といった金融関連サービスとの相性が良く、実際に出前館やドモホルンリンクル、様々な企業で採用されています。
また、専用デバイスや複雑な初期設定を必要としないため、既存ユーザー基盤にも導入しやすい点が特徴です。
固定電話にも対応しており、電話網を利用するため多様な種類の電話端末からのアクセスをサポートします。高齢者や非スマホユーザーを含む幅広い利用者層に提供できます。
利用シーンは会員登録やログイン、決済、ポイント連携など多岐にわたり、システム環境に合わせた柔軟な設計も可能です。 こうした特徴により、利便性とセキュリティを両立しながら、利用者が安心してアクセスできる認証環境を実現します。
今回取り上げたアコムの事例でも明らかになったように、消費者金融を含む幅広い分野で「直感的かつ強固な認証」が求められています。
Infront Securityはその解決策として、業界全体のセキュリティ水準を高める役割を担っています。
