不正アクセスが社会問題化しています。
ついにテスタさんも被害にあいました。
こちらです。
証券会社はログインするための様々な入口を顧客に提供しており、ある入口に多要素認証を設定していたとしても、別の入口では多要素認証が要求されず「ログインID」と「ログインパスワード」を入力するだけでログインできてしまうことが原因のようです。
テスタさんのケースは楽天証券ですが、SBI証券でも、スマホ認証が設定できず「ログインID」と「ログインパスワード」を入力するだけでログインできてしまう「米国株アプリ」(既に修正済み)のほかに「バックアップサイト」というものも提供されており、「ログインID」と「ログインパスワード」を入力するだけでログインできてしまうようです。
※SBI証券は、バックアップサイトを5月30日をもって終了すると告知していましたが、批判を受けて急遽5月2日に終了すると方針転換しました。
SBI証券も楽天証券も、SBIや楽天がゼロからシステムを作ったわけではなく、既に証券業を営んでいた他社を買収してツギハギを重ねて今のシステムを構築したものだけに、全てのセキュリティホールをふさぐのは簡単でないのかもしれません。
しかし、マネックス証券は認証アプリによる多要素認証を既に導入しており、ログイン時の入力だけでなく、ログインページの中を移動しているだけでも頻繁に入力を要求されます。SBI証券や楽天証券でも早急に認証アプリを導入し、顧客情報へのアクセス時には認証アプリによる多要素認証を必須化してほしいです。
さて、現状でどう対応するかですが、証券会社が提供する多要素認証を設定することは当然として、ログインパスワードと取引パスワードを直ちに変更すべきです。
SBI証券も楽天証券も、私が口座開設した時点ではパスワードは英数字だけで設定できていましたが、現在は記号も混ぜなければ設定できません。
英数字だけのパスワードは脆弱にすぎるため、パスワードが英数字だけの人は、記号も入れた新しいパスワードに直ちに変更すべきです。
私も先ほど変更を済ませました。
セキュリティをさらに上げるには、大手キャリアでクロームブックを購入し、①Wi-Fiでは絶対に接続しない ②ネット証券・ネット銀行・Gmail以外のサイトには絶対にアクセスしない事も有効ではないでしょうか。
返信削除パソコンそのものが乗っ取られたら怖いので。
ID、PWをブラウザーに保存すると流出リスクが高いという記事を読んだことがあります。被害にあわれた方はどうだったのか、気になるところです。
返信削除取引PWまで闇マーケットで売買されているということは重大ですね
返信削除各社ともシステム的に万全な防衛策は無いということになり、利用者が毎週毎日くらいの頻度で全てのPWを変えるくらいの対策をとらないといけないことになりそう
気が遠くなるなあ
どこ経由で穴を突破されるのか予測不能
なにげにマネフォと口座連携してるのも不安になってくる
楽天証券は、多要素認証を利用者の意思で無効化(解除)した場合には、仮に不正取引が起きても免責だとの規約改正を行なうそうです。
返信削除https://www.rakuten-sec.co.jp/web/info/info20250502-01.html
この流れはもう止まらないでしょうね。
多要素認証の必須化で、地味に、家計簿アプリ・資産管理アプリ業界が大打撃なのですが、まあ仕方ないでしょう。
コメントありがとうございます。
返信削除>パソコンそのものが乗っ取られたら怖い
怪しいサイトを自分から見に行ったわけでないのに不正アクセス被害にあったのであれば、もうそれはどうしようもないです。
そのときに最後の防波堤になってくれるように、認証アプリを導入してほしいものです。
>ID、PWをブラウザーに保存すると流出リスクが高い
SBI証券、楽天証券、マネックス証券では、ログインIDはパソコンに記憶されますが、ログインパスワードは手打ちになるため、これまで面倒だと思っていましたが、安全を優先した仕様なのかもしれませんね。
>取引PWまで闇マーケットで売買されている
他社と共用はしないという防衛策がますます重要になりますね。
>マネフォと口座連携してるのも不安になってくる
私は他社にログイン情報を委ねることが安心できず、こういったものは利用していません。
>楽天証券は、多要素認証を利用者の意思で無効化(解除)した場合には、仮に不正取引が起きても免責だとの規約改正を行なうそうです。
仕方がないことだと思いますが、逆に言えば、パスワードを他社と共用せず多要素認証を設定済みなのに不正アクセスされたら楽天証券の責任だと言いやすくなりそうです。
>家計簿アプリ・資産管理アプリ業界が大打撃なのですが、まあ仕方ないでしょう。
株価も下がりそうですが、仕方ないですよね。
先日は別記事へのコメントへ返信いただきありがとうございました
返信削除さて、楽天証券、こちらが話題に出ています
セキュリティ部門担当者に能力がなさそう、またそういった人員しか配置していない会社としての姿勢に不安を覚えてしまいます(SBIの2日に短縮された30日放置宣言と同様)
https://x.com/utbuffett/status/1918609431543103792
たわら男爵様
返信削除いつも有用かつ精緻な記事をアップくださりありがとうございます。
> パスワードが英数字だけの人は、記号も入れた新しいパスワードに直ちに変更すべきです。
英字は大文字と小文字を混ぜれば、さらに強固となるようです。
ところで、三菱UFJ eスマート証券の取引パスワードは、ログインパスワードと同一なのですね。
これは危険極まりない仕様であり、取引パスワードは独立させてほしいものです。
コメントありがとうございます。
返信削除>セキュリティ部門担当者に能力がなさそう
絵文字の多要素認証、絵文字がフリー素材っぽいので気になっていましたが、入力失敗時にロックがかからないのではダメですよね。
>英字は大文字と小文字を混ぜれば、さらに強固となるようです。
そうですね。
>三菱UFJ eスマート証券の取引パスワードは、ログインパスワードと同一なのですね。
出金パスワードが独立しているという、よく分からない仕様になっていますね。
>取引パスワードは独立させてほしい
同感です。
たわら男爵様
返信削除先日はご返答頂きありがとうございました。
SBI証券で「ログイン停止(解除)設定」が可能となっています。
積立設定は停止中も継続されるようです。
下記動画を参考にしてログイン停止設定を完了しました(解除もテスト済)。
【不正アクセス対策】SBI証券の新セキュリティ「ログイン一時停止機能」を試してみた!
https://www.youtube.com/watch?v=a1yg54ZAB4w
本件を既にご存知でしたらご容赦ください。
以上、ご一報まで。
コメントありがとうございます。
返信削除>SBI証券で「ログイン停止(解除)設定」が可能となっています。
口座にログインすることがなければよいのですが、私は史上最高値を更新したタイミングで含み益を記録してニヤニヤしたいのでロックには抵抗があります。
一部の外国株口座だけ、というようにロックする部分を選択できれば便利になるので、対応してほしいものです。