金融庁は、証券会社を装ったフィッシングサイトや偽メールによる証券口座への不正アクセス被害を受け、利用者および金融機関に対して注意喚起を行っています。
近年は、盗まれた認証情報を悪用した不正ログインだけでなく、不正な株式売買や資産の移動など、被害が深刻化しています。
今回の注意喚起は、利用者がフィッシングに注意するだけでなく、金融機関側も認証方式や不正検知の仕組みを見直す必要性を示すものと言えるでしょう。
本記事では、金融庁の注意喚起の概要と、金融・決済・会員アプリを運営する企業が確認すべきポイントについて解説します。
金融庁が注意喚起している内容
金融庁によると、証券会社を装ったメールやSMS、偽サイトなどによって利用者のログインIDやパスワードが盗まれ、それらを利用した証券口座への不正アクセスが発生しています。
不正ログイン後には、
- 株式の不正売買
- 保有資産の売却
- 不正な取引
- 出金先口座の変更
などの被害が確認されています。
金融庁は利用者に対して、
- フィッシングサイトへアクセスしない
- 不審なメールやSMSを開かない
- 多要素認証(MFA)を利用する
- パスワードを使い回さない
などの対策を呼びかけています。
なぜ証券口座が狙われるのか
銀行口座だけでなく、証券口座も攻撃者にとって非常に魅力的な標的です。
理由は、
- 高額な資産を保有している利用者が多い
- 売買によって利益を得られる
- ログインできれば重要な操作を実行できる
ためです。
さらに、近年はスマートフォンから証券取引を行う利用者が増えており、モバイルアプリを狙った攻撃も増加しています。
フィッシングだけが問題ではない
今回の事案を、
「フィッシング対策をすれば解決する」
と考えるのは危険です。
実際には、
- フィッシング
- バンキングマルウェア
- オーバーレイ攻撃
- Androidアクセシビリティ機能の悪用
- 偽アプリ
など、複数の攻撃手法が組み合わされるケースもあります。
攻撃者は認証情報を盗むだけでなく、その後の重要操作まで狙っています。
金融機関が見直したい認証対策
フィッシング耐性のある認証方式
従来のID・パスワードやSMS認証だけでは、防ぎきれない攻撃が増えています。
近年は、
- パスキー
- FIDO認証
- 生体認証
など、フィッシング耐性を備えた認証方式への移行が進んでいます。
パスキーとは?パスワードレス認証の仕組みと企業アプリ導入時の注意点
重要操作時の追加認証
ログイン時だけではなく、
- 出金
- 振込
- 登録情報変更
- 出金先口座変更
など、リスクの高い操作にも追加認証を実施することが重要です。
リスクベース認証
利用者の
- 利用端末
- 接続元
- 位置情報
- 利用時間帯
- 操作パターン
などを分析し、通常と異なるアクセスを検知する仕組みも重要になっています。
リスクベース認証とは?不正ログイン対策で見るべき端末・行動・取引リスク
モバイルアプリ運営企業が確認したいポイント
金融機関だけでなく、ECサイトや会員サービス、決済アプリを提供する企業も、今回の注意喚起を自社の課題として考える必要があります。
次のポイントを確認してみましょう。
- □ 多要素認証(MFA)を導入している
- □ パスキーなどフィッシング耐性認証を検討している
- □ ログイン後の重要操作にも追加認証を実施している
- □ Root化・Jailbreak端末を検知できる
- □ アプリ改ざんやHookingへの対策を実施している
- □ 不審な端末や異常なログインを検知できる
- □ インシデント発生時の対応手順を整備している
モバイル不正対策ラボの見解
今回の金融庁の注意喚起で注目すべきなのは、
「認証情報が盗まれる可能性を前提とした対策」が求められていることです。
従来は、
正しいID・パスワードでログインできた=本人
という考え方が一般的でした。
しかし現在では、
- フィッシング
- バンキングマルウェア
- オーバーレイ攻撃
- Androidアクセシビリティ機能の悪用
などによって、認証情報そのものが盗まれるリスクが高まっています。
そのため金融・決済アプリでは、
- フィッシング耐性認証
- 端末リスク評価
- アプリ改ざん検知
- ランタイム保護(RASP)
- 重要操作時の追加認証
を組み合わせた多層防御が重要になります。
「ログインできたら終わり」ではなく、「ログイン後の不正操作まで防ぐ」という視点が、今後ますます求められるでしょう。
まとめ
金融庁は、証券口座への不正アクセス被害を受け、フィッシング対策や多要素認証の利用を呼びかけています。
しかし現在の攻撃は、単純なID・パスワード窃取だけではなく、モバイルマルウェアやオーバーレイ攻撃など、複数の手法を組み合わせるケースも増えています。
金融・証券・決済・会員アプリを運営する企業は、認証方式だけでなく、端末リスクやアプリ保護、不正検知まで含めた多層的なセキュリティ対策を検討することが重要です。