金融庁は、5月8日、証券会社への不正アクセスによる売買金額が3000億円を突破した旨を発表しました。
ソースはこちら。
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
証券口座からの出金は本人名義の銀行口座に限られるため、私は証券口座は不正アクセス被害にあいにくいと考えていました。
今回の不正アクセス問題で、証券会社のセキュリティの甘さが指摘されているところですが、おそらく証券会社も私と同じように考えて、安全性よりも利便性のほうを優先していたのでしょう。
この点について、東洋経済オンラインの下記記事が参考になります。
●本人確認が甘かった…証券「口座乗っ取り」10社が補償拒否から一変、セキュリティとのバランスを見誤った業界の落ち度
https://toyokeizai.net/articles/-/875733
上記記事は、不正アクセスを防ぐことができなかった原因について、次のように述べています。
1,証券会社は、緊急を要する売買や正規サイトがつながりにくい場合に備えて複数のログインサイトを顧客に提供していた。不正アクセス者にとっては、ログインサイトの数が増えると、①侵入箇所が増え、②偽サイトに誘導しやすくなる。
2,上記の複数のログインサイトの中には、本人確認の追加認証が弱いものも存在した。ある証券会社は、ワンタイムパスワード方式ではなく生年月日(6桁の数字)を入力するだけでよしとしていた。
また、上記記事は、楽天証券が採用した新しい多要素認証システムについて、次のように痛烈に批判しています。
https://toyokeizai.net/articles/-/875733?page=3
楽天証券の新認証システムについては、当初から試行回数の制限がない(何度でも試せてしまうので、90回試せばログインできてしまう)という致命的な欠陥があると指摘されていました。
Twitterを検索すると、5月3日までは試行回数の制限がなかったところ、5月4日以降は「認証失敗の回数が上限を超えたため、認証コードが失効しました。ログイン画面からやり直すか、メールを再送し認証コードの再発行をしてください。」というメッセージが出現するように修正されたようです。
私も今試してみましたが、4回失敗すると上記メッセージが出現するものの、「認証コードを再送信する」というボタンをクリックすると再び絵柄を選択できるようになりました。そして、2度目も4回失敗すると上記メッセージが出現するものの、1回目と同様に「認証コードを再送信する」というボタンをクリックすると再び絵柄を選択できるようになりました。つまり、口座名義人がメールに気づかない限り回数無制限に試行できる点は変わらないということになります。
※4回までの失敗で正解の絵柄が選択できる確率は、4÷90=4.4%です。4.4%の確率で大当たりが出るわけですね。
楽天証券がGoogleやマイクロソフトの認証アプリを導入せず、なぜセキュリティがガバガバな独自の絵柄選択方式を採用したのか分かりません。ネット通販で一時代を築いた企業グループとは思えないネットリテラシーの低さに驚きを通り越して悲しいです。
というわけで、楽天証券の多要素認証は安全ではありません。ログインIDとパスワードが盗まれると不正アクセスされる可能性が高いので、ログインパスワードを直ちに変更してください(ログインパスワードが英数字だけの人は、記号、大文字も含む新パスワードに変更すべきです)。
【2025.5.9 11:45追記】
楽天証券に早急な対応(特に絵柄選択を失敗したときの口座ロック)を有人チャットでお願いしておきました。
楽天証券が早急な対応を怠って不正アクセス被害が発生した場合には、楽天証券の過失が認められやすくなると思われます。
【2025.5.12 9:00追記】
今ログインしようとしたところ、下記メッセージが表示されました。「無制限チャレンジ」という嘘みたいなセキュリティホールは塞がれたようです。
なお、連続3回認証に失敗した場合、口座をロックいたします。入力ミスに十分ご注意ください。
「証券取引には、ログインとは別に『取引パスワード』が必要なので安全」という神話が崩れてしまったのが、業界全体の誤算でしょうか。
返信削除インフォスティーラーなのか何なのか、取引パスワードがこんなにも漏れている状況は、今もよく理解できません。
コメントありがとうございます。
返信削除>「証券取引には、ログインとは別に『取引パスワード』が必要なので安全」
楽天証券の取引パスワードは4桁の数字ですので、防御力はゼロ(文字通り瞬時に突破される)です。
多要素認証に絵柄選択方式(試行回数が事実上無制限)を採用することといい、楽天証券には早急に何とかしてほしいものですよね。
楽天証券の取引パスワードは当初数字しばりでしたが、英大文字/英小文字/記号が使えるようになりました。
削除楽天証券に関する男爵さんの上記コメントについて、一応、2つほど補足させていただきます。
返信削除・取引暗証番号4桁は、数字の他、英大文字/英小文字/記号の4種が利用でき、その中から2種以上を使うよう求められます。2023年5月にそのように変わった模様です。(私も最近知りました)
https://www.rakuten-sec.co.jp/web/info/info20230428-01.html
・絵柄選択とは違い、取引暗証番号については、一定回数間違えると口座をロックするようです。(これも今回色々調べて知りました)
https://www.rakuten-sec.co.jp/web/help/security02.htm
この手法だと、相対する小型株の売り玉があるはずで、そこから犯人を絞り込めないのでしょうか?少なくとも、これにより多額の利益を得ている口座は凍結等が出来そうですが。
返信削除コメントありがとうございます。
返信削除>楽天証券の取引パスワードは当初数字しばりでしたが、英大文字/英小文字/記号が使えるようになりました。
>取引暗証番号4桁は、数字の他、英大文字/英小文字/記号の4種が利用でき、その中から2種以上を使うよう求められます。
情報提供ありがとうございます。
最近変わったんですね。ただ、なぜ4桁にこだわるんでしょうね。桁数を限定しないほうが突破されにくいので更なる改善を期待したいです。
>取引暗証番号については、一定回数間違えると口座をロックする
この点は、「取引パスワードと同じように絵柄選択を失敗したときも口座ロックをしてほしい」というように楽天証券に要望しておきました。
>この手法だと、相対する小型株の売り玉があるはずで、そこから犯人を絞り込めないのでしょうか?
不自然な売買をきっかけにしてインサイダーで逮捕されるケースがありますので、ここまで社会問題化している以上、当局は捜査しているはずです。
ただ、犯人が海外からだということになると立件は難しいでしょうね。
いつ記事を読んで勉強させて頂いております。私は積立NISA時代からずっと楽天証券一筋でそれなりに投資金額も積み上がってきましたが、NISAの証券会社は年単位で変更可能であることを知りました。昨今の不正取引被害や楽天証券の体たらくぶりを見るに証券会社を変えたほうがいいのかとすら思うようになりました。ある意味リスク分散にもなる気がしておりますがむしろ管理口座(攻撃を受ける入口や気にしなければいけない対象)が増えてリスクが増える方向では?とも妻には言われたりしております。男爵さんはどうお考えになりますか。
返信削除コメントありがとうございます。
返信削除>NISAの証券会社は年単位で変更可能であることを知りました
既投資分は移管できないため、証券会社を変更すると、特につみたてNISAがずっと残ってしまって管理が面倒になります。
>楽天証券の体たらくぶり
あの絵柄のマッチングはどうにかしてほしいですよね。
いち早く認証アプリを導入したマネックス証券の先進性が光ります。
ただ、既にフィッシング詐欺に引っかかってデータを抜かれていることへの対策として、パスワードを大文字、小文字、数字、記号を混ぜたものに変更し、以後はその新パスワードは楽天証券でしか使わないようにして、楽天証券にログインするときは必ずブックマークからする(メールのアドレスはクリックしない)ということを心がければ、不正ログインされるリスクはそれほど心配する必要はないのかなとも思っています。