こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- 証券口座を安全に利用したい人
この記事の目的
マネックス証券が不正出金防止のためSMSによる二要素認証をリリースしたので紹介します。
二要素認証は効果が高いので口座資産をだまし取られたくない人は積極的に活用するとともに、SMS認証の仕組みやスミッシングの手口についても押さえておくとよいでしょう。
マネックス証券、不正出金防止のためSMSによる二要素認証を導入
マネックス証券はSMSによる二要素認証のサービスにより不正出金のリスクを大幅に低減できるとしています。
2021年9月27日(月)より、出金および即時出金時にSMSによる二要素認証のサービスがご利用可能となりました。二要素認証は、その特性から昨今の不正出金のリスクを大幅に低減する効果がございますので、是非ともご利用下さい。
導入の背景としては以下のように述べています。
昨今、悪意のある不正アクセスにより、個人情報や資産が流出するという事象が相次いでいます。金融機関も例外ではなく、お客様の資産が流出する被害が報告されています。
マネックス証券ではお客様の安全なお取引を確保するための継続的な対応を行なっており、現在の認証アプリによる二要素認証サービスに加え、SMSによる二要素認証サービス(SMS認証)を追加導入いたします。
従来の認証アプリの方式では専用のアプリをインストールする必要がありましたが、SMS認証では特定のアプリを必要とせず、SMSに対応しているスマートフォン端末があればすぐにご利用可能です。
SMS認証をご利用いただくことで、万が一、悪意のある第三者にお客様の認証情報(ID・パスワード・暗証番号)が漏洩してしまったとしても、出金時にはお客様ご本人が所有するスマートフォン端末が必要となるため不正送金のリスクを大きく低減することができます。
不正出金防止 SMSによる二要素認証を導入! | マネックス証券
証券口座の不正送金事件としては2020年9月のSBI証券に端を発しています。
今回のリリースは従来の認証アプリの方式に追加されるもので、スマートフォンだけあれば利用できるのでより導入が容易です。
出金時の二要素認証は積極的に利用した方がよいでしょう。
MFA(二要素認証)について理解しておく
マネックス証券が説明している通り、SMSによる二要素認証は不正送金のリスクを大きく低減できるでしょう。
ただし、利用者はその仕組みを十分に理解しておくことが大切です。
答えは利用者のスマートフォンが唯一の鍵の役割を果たすからです。
SMSによる二要素認証では、利用者の手元にあるスマートフォンの持つ電話番号宛のメッセージで鍵を解錠しないかぎり出金指示や設定変更ができないようになっています。
電話番号は一意ですので、スマートフォン宛にSMSで届くメッセージは電話番号の持ち主以外は利用できません。
つまり万が一ID/PWが漏洩しても、スマートフォンという唯一無二の鍵がなければ攻撃者は何もできない可能性が高いということです。
ちなみにアプリによる認証でも不正出金に対する効果は同じですが、SMSの方はさらに以下のような不正変更防止にも効果があります。
万が一、悪意のある第三者がお客様のアカウントに不正ログインをし、SMS認証や携帯電話番号認証の解除を試行したとしても、解除時に再びワンタイムパスワードの入力を要求されます。ワンタイムパスワードは、お客様の所有する認証済の携帯電話番号宛にSMS送信されるため、第三者は不正に解除することができません。
このようなセキュリティ対策に加えて、証券口座の場合はネットバンキングとは異なる性質があるのでもともと不正送金の被害が出にくい特徴があります。
証券口座とネットバンキングの違いについては後述します。
SMSではスミッシングに用心する
今回マネックス証券が導入した不正出金防止策は十分な効果が見込めると考えられます。
その一方で利用者が知っておくべき注意点として、SMSではスミッシングという詐欺の手口があるということです。
スミッシング(Smishing)とはSMS phishingの略で、SMSでURLリンクを送りつけてIDやPWなどを入手するフィッシング詐欺です。
スミッシングについて覚えておくことは、
ということです。
SMSは電話番号に対して送信者が一方的に送りつけることができるサービスで、一般的なセキュリティ対策が及ばないため利用者が注意して扱う必要があります。
例えば電子メールであれば、クラウド側で受信メールの危険性を警告してくれたり、PCのセキュリティ対策ソフトがURLリンクや添付ファイルの検疫をしてくれたりします。
ところがSMSに対してはこうしたセキュリティ対策が一切存在しません。
電話番号宛に届いたSMSメッセージの取り扱いはすべて受信者の判断に委ねられます。
つまり今回のマネックス証券のSMS認証に限らず、SMSによる二要素認証を利用する場合、利用者はどのサービスが何の目的でSMSを送信してくるのかをしっかり把握しておく必要があるでしょう。
その上で、自分が利用していないサービスや利用目的にそぐわないメッセージが届いた場合、悪意の第三者からのスミッシングを疑って拒否しなければならないでしょう。
マネックス証券のものであろうが、他所のサービスのものであろうが、届いたSMSに何でもかんでも従ってはいけません。
例えば今回のマネックス証券のSMSによる二要素認証で送られてくるのはワンタイムパスワードなのであって、攻撃者がマネックス証券をかたるスミッシングでフィッシングサイトのURLを送ってきた場合は「おかしい」と思わないといけないということです。
おかしいと思ったときにやるべきことと、やってはいけないことは以下のとおりです。
証券口座とネットバンクの安全性の違い
スミッシングによる不正送金の被害が確認されているのはネットバンクです。
証券口座では仮にID/PWが漏洩して不正アクセスされたとしても、不正送金の被害に合うことは極めて稀です。
理由は以下のとおりです。
つまり証券口座の場合はネットバンキングと違って、不正アクセスされても被害に繋がりにくいということです。
一方で、ネットバンキングは不正アクセスされてしまうと不正送金の被害に合う確率が高まるでしょう。
銀行口座の場合は口座振り込みによって他人の口座に簡単にお金を移動することができる点で不正送金が容易です。
先の理由1と2は証券口座だけに当てはまる制約なので、銀行口座の場合は架空の振込指示によって利用者を騙せれば3のワンタイムパスワードはフィッシングサイトを用意して盗むことで不正送金ができてしまいます。
要するに証券口座の方がネットバンキングよりも不正送金に強いと覚えておけばよいでしょう。
まとめ
マネックス証券が不正出金防止対策としてSMSによる二要素認証を導入したニュースを紹介しました。
利用者は積極的に二要素認証を活用するべきです。
昨今はサイバー犯罪が増えていますが、口座資産の安全については利用者自身で注意する必要があるでしょう。