楽天証券、ログイン時の多要素認証を必須化も、認証アプリは採用せず

楽天証券は、2025年4月25日、ログイン時の多要素認証を必須化すると発表しました。

必須化の時期は未発表ですが、ゴールデンウイークを利用して設定するように呼び掛けています。

ソースはこちら。

https://www.rakuten-sec.co.jp/web/info/info20250425-05.html?l-id=pc_top_visitor_take_info_20250425-05

楽天証券が言うところの多要素認証とは、

1，ログイン時に、ログインIDとパスワードを入力し、「ログインする」のボタンを押す。

2，「追加ログイン認証画面」に自動遷移するので、事前登録したメールにその都度届く認証コード（2種類の画像）をメールを開いて確認して選択し、「認証する」のボタンを押す。

3，ログイン成功。

というものです。

ただ、認証コードがフリー素材っぽさを感じさせる画像であることもあり、どうにも古臭く思えます。また、認証コードをネット上で送信するため、その際に傍受されて不正利用されるリスクがあります。

これに対し、マネックス証券は、Googleやマイクロソフトが提供する認証アプリを利用した多要素認証を導入しています（1つの認証アプリに複数の証券口座を登録できるため、子供名義の証券口座も親と同じ認証アプリで管理可能です。ちなみに、SMS認証は1つの電話番号を複数の証券口座で利用することができないため、子供の人数分の携帯電話番号を用意しなければなりません）。しかも、認証アプリを利用することで、スマホのロック解除時の生体認証でも保護されることになり、安全性が向上します。

【マネックス証券の二要素認証の仕組み】
https://info.monex.co.jp/help/security/mfa/index.html

※認証アプリは、サーバーと認証アプリの二か所で同じアルゴリズムに従って認証コードが同時に自動生成され、サーバーと認証アプリ間での通信が一切行われないため、傍受のリスクが格段に減ります。

※SMS（ショートメッセージサービス）認証は、安全性が疑問視されているようです。
【参考】
●SMS認証は危険？　SMSを利用した二要素認証が減少傾向にある理由
https://sumaholife-plus.jp/smartphone/24649/

楽天証券が認証アプリではなく画像のメール送信によるログイン認証を採用した理由は明言されていませんが、先進感が全く感じられないのはどうにかならないものでしょうか。

なお、楽天証券は、2025年3月25日から「リスクベース認証」を導入しています。これは、普段と異なる端末からのログインを自動感知すると、フリーダイヤル認証（事前登録した電話番号からフリーダイヤルで電話する）を求めるものです。

電話番号を登録していない人や、フリーダイヤルを利用できない電話番号（050から始まる電話番号）を登録している人は、リスクベース認証を突破できずログインできなくなるため、注意してください。