楽天証券、「絵文字」で不正アクセスを根絶

楽天証券は、ログイン時にメール送信される絵文字を2個選ばなければなりませんが、それによって不正サクセスをゼロにできたということです。

ソースは日経新聞の下記記事です。

●楽天証券、口座乗っ取り「5月上旬以降ゼロ」　絵文字効果
楽天証券副社長　平山忍氏に聞く
https://www.nikkei.com/article/DGXZQOUB011CE0R00C25A9000000/?utm_source=newsshowcase&utm_medium=discover&utm_campaign=CCwQ3ZGx94a6vLZDGKLe3-X-vrTHpAEqRAgwEMyHwb7a_u3X1QEYvP-r0eGO76OnASoqCAAiELse9Jb8buBRg_uT3jpgaoUqFAgKIhC7HvSW_G7gUYP7k946YGqF&utm_content=related

上記は、セキュリティ担当の副社長へのインタビュー記事です。

副社長は、次のように述べています。

1，不正アクセスは、5月上旬以降ゼロ。

2，本来であれば1月にも多要素認証を必須化すべきだったが、それができなかった理由は、カスタマーセンターへの問い合わせや苦情が発生するおそれがあったから。

3，楽天証券からの情報漏洩には万全を期していいたが、フィッシング詐欺等により顧客側からの情報漏洩への対策は不十分だった。

4，「絵文字」を選択して本人確認を行う方法は、副社長自身としても効果があるのか半信半疑だったが、実際に導入してみたところフィッシング対策として非常に効果的であることが分かった。

5，楽天証券では、フィッシングメールを検知した1時間以内にフィッシングサイトを削除する仕組み（24時間365日でモニタリングして自動削除する）を複数の方法で準備している。

6，今秋には生体認証を利用したパスキーを導入予定だが、パスキーのみでは不正アクセスを阻止できないと考えている。システムや社内体制を更に整え、使える道具は全て使い、様々な認証方法を組み合わせていく。

つまり、楽天証券としてはクレーム処理が面倒で多要素認証必須化に踏み切れなかったところ、不正アクセス被害が社会問題化したことで後顧の憂いなく必須化に踏み切ったということになります。

副社長は、

フィッシング詐欺などでお客様ご自身が被害にあい、ID・パスワード・暗証番号などが悪意ある第三者の手に渡った場合でも、ログインの追加認証などで被害を防ぐ対策を提供していた。それにもかかわらず、追加認証の必須化も含めて、周知・徹底が不足していた点は、反省すべき点だと考えている

と述べますが、楽天証券をずっと利用している私には「ログインの追加認証などで被害を防ぐ対策を提供していた」という記憶がなく、不正アクセス被害が社会問題化した後に後手後手で急造した多要素認証を逐次投入していき、実戦投入の中で少しずつブラッシュアップして現在の水準までたどりついたという記憶しかありません。

絵文字の選択も、最初は固定された絵柄の中から2種類の絵文字を回数制限なく何度でも選択し直すことができるという杜撰なものでしたが、何度かの改善を経て、現在は、①候補となる絵柄は多くの絵柄の中からランダムに表示される、②2種類の絵柄の選択も優先順位が付けられている、③選択に失敗するとやり直しになり何度か失敗すると口座がロックされる、というものにブラッシュアップされています。

いずれにしても、取引経路がネットに限定されているネット証券会社では、取引経路であるネットの安全性を全てに優先して確保しなければなりません。

楽天証券副社長の上記コメントは、内心を正直に吐露した点で評価できますが、楽天証券が取引経路の安全性よりもクレーム処理の面倒さを優先した（＝それによって顧客が他社に移ることを危惧した）と理解せざるを得ません。取引経路が窓口中心の対面証券が全額補償なのに、取引経路がネット限定のネット証券が半額補償でよいのかという正当性への疑問がどうしても拭えません。