こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- 2008年から国内・海外ETF、つみたてNISA、iDeCoなどでインデックス投資をしています。
- 2020年より米国株オプション、サラリーマン大家、副業ブログを実験中です。
この記事は次のような人にオススメです
- マネック証券の不正送金対策に関心がある人
この記事の目的
マネックス証券の出金時のワンタイムパスワード認証を紹介します。
今回の対応は2020年9月に起きたSBI証券の不正送金事件に端を発しています。
ワンタイムパスワードはセキュリティ効果が非常に高いことが知られており、マネックス証券の口座保有者は積極的に利用すべきでしょう。
マネックス証券が出金時の不正送金対策を開始
マネックス証券は2020年12月22日から出金および即時出金時におけるワンタイムパスワード認証が利用可能になったことを案内しています。
出金時にワンタイムパスワードがご利用可能に! | マネックス証券
簡単に言うと、出金手続きの際に使い捨てのパスワードによる認証を導入して、一致しないと出金できないようにしたということです。
ワンタイムパスワードは、その特性から不正出金のリスクを大幅に低減する効果がございますので、是非ご利用下さい。
出金手続きに多要素認証を導入することで、本人以外が出金できる可能性はほとんどなくなるため大変理にかなった不正送金対策でしょう。
ネット銀行で導入されているトランザクション認証と同様に高い効果が期待できます。
ワンタイムパスワードによる出金時の認証は私が知る限りマネックス証券が初めてだと思うので、とても素晴らしい対応ですね。
ワンタイムパスワード(二要素認証)とは?
ワンタイムのパスワード、つまり一度だけ使える使い捨てのパスワードのことです。
ワンタイムパスワードはトークンと呼ばれる、利用者だけが使うことができるパスワード自動生成装置で作られます。
一般的なIDとパスワードだけの認証方式では、万が一IDとパスワードの組み合わせが第三者の手に渡ってしまうと不正アクセスの被害にあってしまいます。
しかしワンタイムパスワード方式の場合、通常のIDとパスワードに加えてワンタイムパスワードも一致させる必要があるためセキュリティが強固になります。
ワンタイムパスワードは通常30秒ごとに自動生成される上、ワンタイムパスワードは基本的に本人しか扱えない専用デバイスによる二要素認証(多要素認証)の条件も満たすので高いセキュリティ効果が期待できます。
また仕組みも比較的簡単で、導入に際して利用者の負担も小さくて済みます。
マネック証券のワンタイムパスワード方式(TOTP)
マネックス証券では独自で認証アプリを開発せず、以下のいずれかの認証アプリを使います。
これらの認証アプリではTOTP(Time-based One-time Password)という認証技術が用いられています。
ワンタイムパスワード技術のTOTPとは?
TOTPはRFC6238というインターネット技術の仕様を記した文書で定義され、標準化されています。
したがって認証アプリはTOTPに準拠していれば上記の2つ以外でも利用可能でしょう。
例えばこんなやつとか。
IIJ SmartKey|スライド認証・ワンタイムパスワード管理
TOTPでは二段階認証用に6桁の数字コードを一定の時間ごとに生成します。
TOTPの6桁の数字コードは利用者個別の数学的計算に基づいて生成され、認証先と生成装置で常に同期されています。
数字コードは一般的に30秒ごとに生成され続けるので、利用者だけが知ることができる使い捨てパスワードとして機能します。
またTOTPはTime-based One-time Passwordの略のとおり、そのときの「時間」を計算に使います。
したがってデバイスの時間が認証先サーバーの時間とズレていると生成される数字コードにもズレが生じて認証ができなくなります。
TOTPは通信が不要
TOTPによる数字コードの生成には外部との通信が必要ありません。
例えば認証アプリの入ったスマホがオフライン状態(機内モード)などであっても、スマホで生成された数字コードは認証先サーバーと一致していることが特徴です。
つまり認証アプリの入ったスマホは外部から独立した唯一の鍵になっているということです。
TOTPも完璧なセキュリティではない
セキュリティ効果の高いTOTPですが、最近ではスミッシング(SMSフィッシング)というSMSを使ったワンタイムパスワードを盗む手口が攻撃に用いられることも知っておきましょう。
ワンタイムパスワード方式がセキュリティに優れる一方で、利用者の不注意で不正アクセスに遭遇する可能性が残ることを意味しています。
利用者としては基本的なセキュリティ対策を押さえておきましょう。
認証アプリは複数作れる
これはセキュリティに対する考え方と利便性のトレードオフになりますが、ワンタイムパスワードを生成できるデバイスは複数用意することができます。
例えばスマホ1台だけが唯一の認証アプリだと、会社にスマホを置き忘れてしまった場合などに自宅PCから認証ができないといった事態が起こります。
こうした事態に備えて、TOTPを使う場合は複数のデバイスで同じワンタイムパスワードが生成できるようにすることができます。
やり方は簡単で、認証アプリをサービス側に紐付ける時にQRコードまたは手入力用コードが表示されるので、これを複数のデバイスで登録しておきます。
私の場合、1台は常時携帯するスマホ、もう1台は自宅に置きっぱなしのタブレット、といった使い方をしています。
認証アプリを複数用意するリスクとしては、手元にないデバイスでもワンタイムパスワードを生成できるため、デバイスの盗難・紛失によって認証を突破される可能性がある点です。
しかしスマホやタブレットにもロックが掛かっており、さらにワンタイムパスワードを利用するにはサービスに対してその前段階のIDとパスワードも知っていなければなりません。
私はそのような条件をクリアして不正アクセスにあう可能性は限りなくゼロに近いと考えているため、複数台のTOTPアプリが使える利便性の方を優先しています。
登録してみたよ
まず最初にPCサイトから利用登録します。
私はもともとGoogle Authenticaterを使っていたので、案内に従ってマネックス証券の口座と紐付けるだけです。
今回もスマホとタブレットの両方に登録しました。
以下はタブレットの方のスクショです。
マネックス証券以外のGoogleの2つはGoogleアカウントの認証で使っています。
画面上部のステータスバーに飛行機マークがあるので機内モードですが、生成される数字コードは問題なく利用できます。
念の為、試しに出金指示してみると、
ワンタイムパスワードの入力フィールドがありますね。
もし私のマネックス証券のIDとパスワードが第三者に渡って不正アクセスされたとしても、私のスマホで30秒ごとに生成される6桁の数字コードが一致しないと出金はできません。
またマネックス証券では普段と異なる環境からのログインがあるとメールで通知が届きますので、不正アクセスされた段階で察知できる可能性も高いです。
ここまで対策されていればマネックス証券の口座から不正送金することは相当困難でしょう。
今回のマネックス証券の対応はとても効果的です。
まとめ
今回はマネックス証券の出金時のワンタイムパスワード(二要素認証)対応開始を紹介しました。
出金時にワンタイムパスワードによる認証が追加されるため不正送金の予防に大きな効果が期待できますね。