証券口座を狙うリアルタイムフィッシングとは?OTP突破型の不正ログインから考える対策

証券口座を狙ったフィッシング被害が深刻化しています。

特に注意したいのが、「リアルタイムフィッシング」と呼ばれる手口です。

これは、利用者を偽サイトへ誘導してID・パスワードを入力させるだけでなく、ワンタイムパスワードまで入力させ、その情報を攻撃者が即座に公式サイトで悪用する攻撃です。

従来、ワンタイムパスワードは不正ログイン対策として広く使われてきました。しかし、リアルタイムフィッシングでは、利用者が入力した認証コードが有効な短い時間内に攻撃者へ渡り、そのまま不正ログインに使われる可能性があります。

本記事では、証券口座を狙うリアルタイムフィッシングの手口と、金融・証券・決済アプリを運営する企業が確認すべき対策を整理します。

リアルタイムフィッシングとは

リアルタイムフィッシングとは、偽サイトに入力された認証情報を、攻撃者がほぼリアルタイムで正規サイトへのログインに悪用する手口です。

証券口座を狙う場合、典型的には以下のような流れになります。

  1. 証券会社を装ったメールやSMSが届く
  2. 「不正アクセス」「重要なお知らせ」「本人確認」などの文面で不安を煽る
  3. 利用者がメールやSMS内のリンクを開く
  4. 本物そっくりの偽サイトに誘導される
  5. ID・パスワードを入力する
  6. 続いてワンタイムパスワードの入力を求められる
  7. 攻撃者がその情報を即座に公式サイトで使用する
  8. 証券口座へ不正ログインされる
  9. 口座内の株式売却や不正な買付などが行われる

ポイントは、ワンタイムパスワードが「盗まれた後に使われる」のではなく、「入力された直後に使われる」ことです。

そのため、ワンタイムパスワードを導入していても、フィッシングサイト上で利用者自身がコードを入力してしまうと、攻撃を防ぎきれない可能性があります。

なぜ証券口座が狙われるのか

証券口座は、攻撃者にとって金銭的価値が高い標的です。

銀行口座のように直接出金するだけでなく、口座内の株式等を売却し、その売却代金で特定の株式を買い付けるなど、不正取引に悪用される可能性があります。

また、証券口座は以下のような特徴を持っています。

  • 高額な資産が保管されている場合がある
  • オンライン取引で売買操作が完結する
  • スマートフォンアプリからも取引できる
  • 口座保有者が毎日ログインするとは限らない
  • 不正取引に気づくまで時間がかかる場合がある

特に、スマートフォンからメールやSMSを開き、そのままログイン操作まで進めてしまう利用者は少なくありません。

モバイル環境では画面が小さく、URLや証明書、送信元の違和感に気づきにくいため、証券口座を狙うフィッシング対策では、スマートフォン利用を前提にした設計が重要になります。

ワンタイムパスワードだけではなぜ不十分なのか

ワンタイムパスワードは、不正ログイン対策として有効な場面があります。

たとえば、攻撃者がID・パスワードだけを入手した場合、追加でワンタイムパスワードを求めることでログインを防げる可能性があります。

しかし、リアルタイムフィッシングでは事情が異なります。

偽サイトが本物のログイン画面に似せて作られている場合、利用者は通常のログイン手続きだと思い込み、ID・パスワードに続いてワンタイムパスワードも入力してしまいます。

攻撃者はそのコードを即座に利用するため、ワンタイムパスワードの有効期限が短くても突破される可能性があります。

つまり、問題は「ワンタイムパスワードが弱い」というより、フィッシングサイトに入力された時点で、認証情報として悪用され得ることにあります。

そのため、証券口座や金融アプリでは、ワンタイムパスワードに依存しすぎず、フィッシング耐性のある認証方式を検討する必要があります。

フィッシング耐性MFA・パスキーが注目される理由

近年、金融機関や証券会社で注目されているのが、フィッシング耐性のある多要素認証です。

代表的な選択肢の一つがパスキーです。

パスキーは、公開鍵暗号方式を活用した認証方式で、利用者が偽サイトにパスワードやワンタイムパスワードを入力する形とは異なります。

フィッシング耐性が高い理由は、認証情報が単純な文字列として利用者の手元に表示されないためです。

従来型の認証では、利用者が入力した情報が偽サイトに渡ると、そのまま攻撃者に悪用される可能性があります。

一方で、パスキーのような方式では、認証時にサービスの正当性やドメインとの結びつきが重要になるため、偽サイトに誘導されても同じようには認証できません。

証券口座のように高額資産を扱うサービスでは、パスワード、SMS認証、ワンタイムパスワードだけに依存するのではなく、フィッシング耐性のある認証方式への移行が重要になります。

企業が確認すべき対策

1. メール・SMSのリンクからログインさせない設計にする

まず重要なのは、利用者に「メールやSMSのリンクからログインする習慣」を持たせないことです。

企業側が正規メールや正規SMSにログインURLを頻繁に記載していると、利用者はリンクを押すことに慣れてしまいます。

その結果、偽メールや偽SMSにも反応しやすくなります。

重要なお知らせを送る場合でも、本文内のリンクから直接ログインさせるのではなく、公式アプリやブックマークから確認するよう案内する設計が望ましいです。

2. ログインだけでなく重要操作時にも追加防御を入れる

不正ログイン対策では、ログイン時の認証だけに注目しがちです。

しかし、金融・証券・決済サービスでは、ログイン後の重要操作をどう守るかが重要です。

たとえば、以下の操作には追加認証やリスク判定を入れるべきです。

  • 出金
  • 送金
  • 株式等の売却
  • 高額取引
  • 出金先口座の変更
  • メールアドレス変更
  • 電話番号変更
  • 端末変更
  • パスキー登録・再設定

攻撃者がログインに成功した後でも、重要操作の段階で止められる設計にすることが必要です。

3. 端末・環境・挙動のリスクを見る

リアルタイムフィッシング対策では、認証情報だけで判断するのではなく、アクセスしている端末や環境も見る必要があります。

確認すべきポイントは以下です。

  • 普段と異なる端末からのログイン
  • 端末変更直後の重要操作
  • 短時間での連続ログイン
  • 不自然なIPアドレスや地域からのアクセス
  • エミュレーターや不正環境からのアクセス
  • Root化・Jailbreak端末からのアクセス
  • アプリ改ざんやHookingの兆候
  • ログイン直後の高額取引や出金操作

ID・パスワードとワンタイムパスワードが正しくても、端末や挙動に異常があれば追加確認や取引制限を行う設計が重要です。

4. パスキー登録時のフィッシングにも注意する

パスキーはフィッシング耐性のある認証方式として有効ですが、導入時にも注意が必要です。

利用者にパスキー登録を促すタイミングは、攻撃者にとっても便乗しやすいタイミングです。

たとえば、「パスキー登録が必要です」「新しい認証方式へ切り替えてください」といった偽メールや偽SMSで、利用者をフィッシングサイトへ誘導する手口が考えられます。

そのため、パスキー登録の案内は、公式アプリ内や公式サイト上で明確に行い、メールやSMSのリンクから登録させない設計が重要です。

5. 利用者に伝える注意喚起を具体化する

利用者向けの注意喚起では、「フィッシングに注意してください」だけでは不十分です。

以下のように、具体的な行動に落とし込む必要があります。

  • メールやSMSのリンクからログインしない
  • 証券会社の公式アプリからログインする
  • 公式サイトはブックマークから開く
  • ワンタイムパスワードを偽サイトに入力しない
  • 普段と違うログイン画面やポップアップが出たら操作を止める
  • 身に覚えのない取引やログイン通知があればすぐに証券会社へ連絡する
  • パスキーが提供されている場合は速やかに設定する

特にスマートフォン利用者には、「通知からすぐ開く」のではなく、「公式アプリから確認する」という習慣を促すことが重要です。

モバイル不正対策ラボの見解

リアルタイムフィッシングの本質は、認証情報の窃取だけではありません。

利用者の操作をリアルタイムで攻撃者のログイン操作に接続し、正規の認証フローを悪用する点にあります。

この手口では、ID・パスワードの漏えい対策だけでは不十分です。ワンタイムパスワードを導入していても、利用者が偽サイトにコードを入力してしまえば突破される可能性があります。

そのため、金融・証券・決済アプリを運営する企業は、以下のように多層的に対策を整理する必要があります。

  • フィッシングサイトへ誘導されにくい導線設計
  • フィッシング耐性のある認証方式の導入
  • 重要操作時の追加認証
  • 端末・環境・挙動に基づくリスク判定
  • 不正ログイン後の取引制限
  • 利用者への具体的な注意喚起
  • 公式アプリ内での安全な通知設計

リアルタイムフィッシングは、従来型の「ID・パスワードを盗まれる攻撃」よりも一段進んだ手口です。

だからこそ、企業側も「認証を強くする」だけではなく、「どの導線で利用者が騙されるのか」「ログイン後にどの操作を守るべきか」まで含めて見直す必要があります。

まとめ

証券口座を狙うリアルタイムフィッシングでは、ID・パスワードだけでなく、ワンタイムパスワードまで偽サイトで入力させ、攻撃者が即座に公式サイトで悪用する可能性があります。

この手口では、従来型のワンタイムパスワードだけでは防ぎきれない場合があります。

金融・証券・決済アプリを運営する企業では、フィッシング耐性のある多要素認証、パスキー、重要操作時の追加認証、端末リスク評価、不正挙動検知を組み合わせた多層的な対策が重要です。

また、利用者に対しては、メールやSMSのリンクからログインせず、公式アプリやブックマークからアクセスするよう継続的に案内する必要があります。

リアルタイムフィッシングは、証券口座だけの問題ではありません。

金融アプリ、決済アプリ、会員アプリなど、スマートフォン上でログイン・認証・取引が完結するサービスすべてにとって、見直すべき重要なテーマです。

参考情報

  • 日本証券業協会「不正アクセス等にご注意ください!」
  • 金融庁「インターネット取引サービスへの不正アクセス・不正取引にご注意ください」
  • 金融庁「フィッシング耐性のある多要素認証等に係る官民一体・業界横断的な広報について」

あわせて読みたい