証券会社を狙うサイバー攻撃が激化　あらためて多要素認証の重要性を考える

　証券会社を狙ったフィッシング攻撃が流行しています。ランサムウェアは個人から組織へと標的を移してきましたが、フィッシングについては依然として個人を狙った事案が多発しています。特に証券会社を装ってフィッシングサイトからID／パスワードを盗み出し、証券口座にある株式を不正に売買することで、多額の利益を上げている攻撃者がいます。確かに筆者のメールボックスにも、契約していない証券会社からさまざまな文面のフィッシングメールが届いています。

【画像】証券会社を狙うサイバー攻撃が激化　あらためて多要素認証の重要性を考える【全1枚】

　中には、実際に契約している証券会社の名をかたり、「セキュリティ強化のための再認証手続き」とユーザーを誘う電子メールもあり、昨今の注意喚起と合わせて引っ掛けようとする意図が見受けられます。契約している証券会社からの電子メールであっても、必ずブックマークからアクセスするよう心掛けてください。できれば、決まったスマートフォンにアプリをインストールし、そのアプリからのみアクセスする方式であれば、フィッシングのほとんどを防げるのでお勧めです。

●進む多要素認証必須化の流れ　あらためてその重要性を学ぼう

　全国の証券会社を構成員とする社団法人である日本証券業協会は、あらためて注意喚起をするとともに、「多要素認証の設定必須化を決定した証券会社」の一覧を公開しています。

　特に金融関連のWebサービスにおいては、多くの識者が多要素認証の利用を推奨しています。日本証券業協会は、2025年4月3日時点で多要素認証の設定必須化を決定した証券会社一覧を公開しています。67社のリストは現状の厳しさを理解できる内容になっています。

　ここで再度、多要素認証を解説したいと思います。ランサムウェア攻撃は組織に何らかの方法で侵入し、ツールを使ってシステムを暗号化し、身代金を要求します。この一連の攻撃は全てランサムウェアグループが実行するのではなく、分業体制が進んでおり、何らかの方法で侵入するための「侵入口」、つまりID／パスワードなど認証情報を取り扱うだけのグループがいます。これをイニシャル・アクセス・ブローカー（IAB）と呼びます。ランサムウェア攻撃者はIABから認証情報を購入し、暗号化するためのツールを別のグループから手に入れ、攻撃を成立させます。

　IABはID／パスワード、あるいは認証済みのクッキーなどの「入り口」を集めています。それに特化した攻撃者が多数存在しているということは、もはやパスワードは公知のものであるという認識をしなければなりません。

　加えて、私たちはパスワードを使い回し続けています。利用するサービスが多いのですから、もはやこの習慣を変えることはほぼ不可能でしょう。すると、どこか脆弱（ぜいじゃく）なサービスからパスワードが漏れてしまうと、使い回しをしている全てのサービスで不正ログインが可能になってしまいます。

　この課題への対策として有効なのが、多要素認証です。多要素認証では、パスワードという利用者しか知らない（はずの）情報だけに頼らず、利用者だけしか持っていないもの、もしくは利用者が持つ生体情報を組み合わせて認証を実施するものです。

　内閣サイバーセキュリティセンター（NISC）が公開している「インターネットの安全・安心ハンドブックVer 5.10」での多要素認証の紹介は非常によくできており、現時点で推奨できる多要素認証に加え、パスワードに関連する注意事項がまとめられています。多要素認証の代表的な手法として、スマートフォンに表示されるワンタイムパスワード（ソフトウェアトークン）や、指紋認証・顔認証などの生体認証が紹介されています。チェックしてみてください。

　ただし、多要素認証も完璧ではありません。実は国内証券会社の被害者から、多要素認証を設定していたにもかかわらず、不正な取引が防げなかったという報告があります。同書のコラム3（121ページ）には、多要素認証を突破する手法の一つである中間者攻撃にも触れています。加えて、中にはログインできる入り口がPCやモバイルの他にも複数存在する場合があり、モバイルデバイスでは有効だが、その他の入り口では十分に機能せず、不正アクセスを許す事例もあるようです。多要素認証はカジュアルな攻撃を防ぐには非常に良い仕組みですが、高度なフィッシングやシステム自体の脆弱性には対応しきれません。過信は禁物であることも併せて知っておいた方がいいでしょう。

●「面倒臭い？」　でも多要素認証の必須化は受け入れるしかない

　今回のポイントは、多要素認証を"必須"としたことだと思います。日本証券業協会でも、不正アクセス対策として必須化に対して前向きになっていることが分かります（「明示的にそれを望まない顧客を除く」という文言は気になりますが……）。恐らく、今後、不正アクセスに対する保証などが議論される中で、多要素認証を導入している利用者も、一定の対策を講じることが求められるのではないかと考えられます。その点に関して、多要素認証の必須化を決めた時点で利用規約などがアップデートされるはずですので、そこも注目する必要があるでしょう。

　個人的に多要素認証の必須化がうまいと思ったのは、Appleのアカウントです。Appleではある時期から自然と多要素認証が必須となっていました。これはサービスだけでなく、OSやデバイスそのものを一つの会社が持っていることの強みだと思います。残念ながらその後、AppleのIDを狙う攻撃者は中間者攻撃もセットでフィッシングしてくるようになったため、私たちはさらなる防御策を考えなくてはならなくなってしまいましたが……。

　それでも、多要素認証は必須という流れを受け入れる必要があるでしょう。「面倒臭い」という意見もあるかと思います。個人的には、パスワードを使い回さず、異なるものを作成し覚えることに比べれば、多要素認証を設定し、その鍵となるスマートフォンを守ることに集中する方が楽なはずです。

　今後もフィッシングは減らないでしょう。問題は、多要素認証にまだ対応できていないサービス事業者です。大事なお金やデータを取り扱っている事業者は、少なくとも多要素認証を取り入れてくれると、安心して利用できるのですが……。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。