ネット証券、セキュリティのずさんさ露呈 ID・パスワードだけで入れる「裏口」に批判

[吉川大貴，ITmedia]

　2月から取り沙汰されてきたネット証券への不正アクセス・不正取引を巡り、新たな騒動が巻き起こっている。4月30日にSBI証券が、多要素認証なしにログイン可能だった「バックアップサイト」の閉鎖を発表した他、5月1日、SNSで人気の投資家・テスタさんが証券口座を乗っ取られたと投稿。一連の出来事をきっかけとして、大手2社を中心に、ネット証券のセキュリティ的な危うさに批判が集中している。

　SBI証券は4月30日、「昨今確認されているフィッシング詐欺・不正アクセスなどを防止する」として、5月30日にバックアップサイトを終了すると予告した。同サイトは、同社のメインサイトがログイン不能などの不測の事態に陥った際のバックアップとして提供されてきた手段の一つだ。

SBI証券のバックアップサイト

　しかし第三者によるネット証券の“不正取引”が注目を集める中、ID・パスワードのみでのログインが可能な点に対し、セキュリティの甘さが指摘されていた。今回の終了についても、即時終了ではなく猶予期間がある点に対し「攻撃者に時間を与えるのか」と批判が続出。反応を受けてか、同社はバックアップサイトの終了を前倒しし、2日に閉鎖するとした。

　続いて5月1日には、株式投資で総利益100億円を達成したとしてSNSで人気を集める投資家・テスタさんが、楽天証券の口座を乗っ取られたと自身のXアカウントに投稿。原因や侵入経路については「全く不明」としているものの、注意喚起も兼ねて対応の様子をリアルタイムに投稿し、個人投資家などの関心を引いた。

　中でも注目を集めたのは、テスタさんの「楽天証券で2段階認証やデバイス認証を設定していても、旧バージョンのツールからだとそれらをすり抜けてしまうようです」という発言。これにより、同様の仕様を持つトレーディング用のPCアプリ「マーケットスピード」に対する不安感が高まっている。

マーケットスピード

　同ツールは、最新バージョンで不審なアクセスをはじく「リスクベース認証」を採用している。しかし旧バージョンはリスクベース認証がなく、ID・パスワードのみでのログインが可能で、SBI証券のバックアップサイト同様、“口座乗っ取り”の起点になり得るのではないかとする声も多い。ITmedia NEWSは現在、楽天証券に対し、改善の予定などについて尋ねているが、5月2日正午時点で回答はない。

　一連の騒ぎを受けてか、日本証券業協会も投資家への呼びかけを始めた。2日には、多要素認証の設定必須化を決定した証券会社69社の一覧を公表。「多要素認証の必須化は、投資家のセキュリティ対策として大変重要な措置となり、万が一、ログインID・パスワードを窃取されても、単要素認証と比べ被害を防止できる可能性が高まる」と注意喚起した。

日本証券業協会が公開したリスト

　日証協に対し今回の発表について尋ねたところ、同協会が詳細に精査したわけではないため、69社は全てが新たに必須化を決めた企業とは限らず、以前から導入していた証券会社もリスト入りしている可能性があるという。ただし「ほとんどが新規（に決定した）と思う」「必須化はあまり聞かない」（日証協）とした。

　朝日新聞や日本経済新聞などの報道によれば、日本証券業協会は証券会社各社と調整し、不正アクセスに関する補償も検討しているという。連休半ばに巻き起こった今回の騒動は、業界のセキュリティや投資家の安心感にどのような影響を及ぼすだろうか。