こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- 2008年から国内・海外ETF、つみたてNISA、iDeCoなどでインデックス投資をしています。
- 2020年より米国株オプション、サラリーマン大家、副業ブログを実験中です。
この記事は次のような人にオススメです
- 楽天銀行の利用者
- 楽天銀行の口座開設を検討している人
この記事の目的
楽天銀行のセキュリティが甘いので注意点や使い方のコツなどを紹介します。
私は旧イーバンク時代から楽天銀行を利用していますが、セキュリティのレベルは他行に比べて甘いままです。
銀行側のセキュリティの甘さというのは利用者がどれだけ注意を払っても排除できないリスクなので、利用者または口座開設を検討者している人はその危険性をしっかり認識すべきでしょう。
楽天銀行のセキュリティ上の甘さ2点
楽天銀行はネットバンク専業ということでさまざまなセキュリティ対策が用意されています。
ところがサイバーセキュリティ対策において効果が高いと考えられている以下については導入されていません。
その結果、利用者が抱えることになるリスクは以下のとおりです。
ログイン時の二要素認証がない
二要素認証は不正アクセスに高い効果がありますが楽天銀行では導入されていません。
楽天銀行では認証強化設定ということでワンタイム認証というものがあります。
ワンタイム認証とはワンタイムパスワードを使った認証のことなのですが、セキュリティが向上するかどうかはワンタイムパスワードを安全に受け取れる仕組みが用意されているかどうかに依存します。
通常、ワンタイムパスワードの受け取りは二要素認証によって本人以外が入手できないようにするのが普通ですが、楽天銀行では二要素認証が導入されていないので登録したメールアドレスに送られてきます。
ワンタイムパスワードの発行にメールアドレスを使うところが弱点なのですが、楽天銀行はこの仕組みを二要素認証と位置づけて以下のように説明しています。
2要素認証を正しく稼働させて、より安全に取引を行っていただくために、パスワード(ワンタイムキー)の受信用メールアドレスは、携帯電話・スマートフォンのメールアドレスを登録してください。
そもそも二要素認証とは以下の認証要素のうち2つ以上を組み合わせることでなりすましを防ぎます。
楽天銀行の場合はメールアドレスを使っているため知識情報による認証だけでなので、ワンタイム認証の仕組みをもってして二要素認証とするのは誤りでしょう。
ワンタイムパスワードは所持情報を経由して初めてセキュリティが向上するのですが、楽天銀行はメールアドレス(知識情報)に対して配ってしまうので効果は限定的でしょう。
楽天銀行はこのシステムについて以下のような説明をしています。
しかしながら、「ワンタイム認証に利用するメールアドレス」としてフリーメール(Yahoo!メール、Hotmail、Gmail等)のメールアドレスをご登録されているお客さまが、フリーメール用のID、パスワード等を第三者に不正に盗取され、ワンタイムキーをも盗取されたことに起因すると思われる不正送金が確認されております。
セキュリティ強化のためのワンタイム認証のルール変更について | 楽天銀行
普通に考えて「そりゃそうだろー」と思う弱点のある仕組みなのですが、楽天銀行は対策として登録メールアドレスに対して独自の推奨度を設けるという仕組みでカバーしようとしています。
携帯電話、スマートフォン、プロバイダ、勤務先のメールアドレスは推奨度が高〜中、フリーメールは推奨度が低とのことです。
そしてメールアドレスを複数登録している場合は推奨度の組み合わせをA〜Fに分類して、より推奨度の高いメールアドレスへワンタイムキーを送信するという複雑な仕組みを編み出しています。
世界中に利用者がいるGmailなどは二要素認証の手段が何通りも選べるほどセキュリティが充実していますが、国内キャリアメールがそれを凌いでいるとは考えられません。
また今どきは携帯キャリア、プロバイダのメールアドレスを持たない人が増えているのに、フリーメールは安全性が低いから推奨しないという楽天証券の独自方針はミスリードだと思います。
システム提供者である楽天銀行は二要素認証の提供を怠り、その結果として生じるかもしれない事故の予防措置として、複雑で効果が低い独自の仕組みで補おうとしています。
この仕組みで期待できるセキュリティは不十分であり、楽天銀行の不正ログイン対策は不足しています。
トランザクション認証がない
トランザクション認証は不正送金に対して高い効果がありますが楽天銀行では導入されていません。
トランザクション認証とは、他行宛振込みなどの出納処理(トランザクション)単位で利用者による認証を課す仕組みです。
簡単に言えば、ネットバンキングで他人名義の口座へ振り込みを指示すると、専用のスマホアプリなどに通知が飛び、許可すれば実行され、拒否すれば中止されます。
通常、登録できるスマホアプリは1口座1台なので本人以外は利用できない二要素認証が成立します。
ネット銀行専業であればトランザクション認証は不可欠と言っても過言ではないのでしょうか。
2022/8/27追記
楽天銀行では、2022年11月よりワンタイムパスワードの通知メールをDMARCで迷惑メールに振り分けられるようポリシー変更する、といったお知らせを出しています。
しかしこれはトランザクション認証の代わりにはならない、従来どおりセキュリティ強度の弱い電子メールによる認証のままですので誤解のないよう注意しましょう。
なぜ楽天銀行はセキュリティ対策を拡大しないのか?
楽天銀行はセキュリティ的に脆弱な状態で長年サービスを提供し続けていますがなぜなのでしょうか。
ネット証券のサイバーセキュリティ対策
まず最初にネット証券のセキュリティ対策について紹介すると、2020年9月にSBI証券で不正送金事件が発覚して以降、ネット証券各社は対応を進めています。
対応策として主流なのがやはり二要素認証で、ネット証券の場合は証券口座から銀行口座への出金時に利用できるようになってきています。
ネット証券の二要素認証の方法で主流なのが利用者の負担が少ないSMSによる認証で、一部でスマホの認証アプリを用いた方法を採用している場合もあります。
このような流れの中、楽天証券でも出金時に限って二要素認証の導入が済んでいます。
しかし証券口座に比べて不正アクセスによる不正送金がより起きやすいネットバンクの楽天銀行で導入されないのはなぜなのでしょうか。
楽天グループには楽天ウォレット株式会社という暗号資産を専門に扱う会社があります。
暗号資産というのは先進的なテクノロジーやセキュリティの知見が必要と考えられますが、同じグループ内のネットバンクのセキュリティが弱いというのはなんだか解せません。
楽天銀行アプリ for Businessの二要素認証
楽天銀行のスマホアプリには以下の二種類があります。
前者の楽天銀行アプリは個人アカウント用で、用途としては便利機能やいろいろなサービスが提供されています。
後者の楽天銀行アプリ for Businessは法人ビジネス口座用で、ワンタイムパスワードの生成機能、つまり二要素認証のみが提供されています。
つまり楽天銀行は二要素認証を提供できるけれど、個人アカウントを対象にしていないということです。
楽天銀行特有の利用状況が理由かも?
楽天銀行はサービス品質について以下のようなリリースを出しています。
楽天銀行は、便利なサービス、お得なサービスの一層のレベルアップを図り、FinTechのリーディングカンパニーとして、お客さまのニーズに応える新たな価値を提供するとともに、セキュリティ対策、十分なシステム対応を通じて、お客さまにとっての「安心・安全で最も便利な銀行」となることをさらに強く目指してまいります。
「お客さま本位の業務運営方針」の取組状況及び成果について | 楽天銀行
FinTechのリーディングカンパニーであるにもかかわらずサイバーセキュリティ対策が明らかに不足していますが、楽天銀行側は十分であるとしています。
これは以下のような点が理由ではないかと推測しました。
口座あたりの平均残高が小さいため
楽天銀行と住信SBIネット銀行を比較してみます。
| 名前 | 口座数 | 預金残高 |
口座あたりの
平均残高 |
|---|---|---|---|
| 楽天銀行 | 1,000万口座 | 6兆円 | 60万円 |
| 住信SBIネット銀行 | 470万口座 | 6.4兆円 | 136万円 |
預金残高はいい勝負ですが、口座数では楽天銀行が圧勝です。
私はこのことが楽天銀行がセキュリティのレベルを上げない理由なのかなと考えました。
まず、預金残高を口座数で除した口座あたりの平均残高は当然ながら楽天銀行の方が小さいです。
これは楽天銀行は楽天ポイントの獲得を目的とした楽天経済圏におけるマネーフローのハブの役割を果たしていることが理由と考えられます。
つまり楽天銀行利用者の多くは銀行口座を貯蓄の場所として使うのではなく、少額決済のための財布のような使い方が多いのではないでしょうか。
このことは不正送金を仕掛ける攻撃者の視点で見ると、攻撃者は口座残高が大きくて1回あたりの実入りが大きいターゲットを好むはずで、楽天銀行の預金者の小銭を狙うのは旨味が小さいと考えられます。
また利用者としても口座残高が小さいためセキュリティに無関心なため改善の要望が出にくいのかもしれません。
こうして楽天銀行にしてみれば、狙われる可能性が低く、利用者からの要望も低いのであれば、わざわざコストを掛けてセキュリティ対策を拡充する意義が薄れます。
利用者のITリテラシーが比較的高いため
次に楽天銀行の口座属性を見てみます。
年齢では20〜40代が約7割、職業は会社員が半分、男女比は男性が6割です。
楽天銀行はネット専業銀行ということで、これら年齢の若い層はそれなりにITリテラシーが高いことが想定されます。
不正アクス、不正送金事件の根本的な原因というのは利用者が適切なセキュリティ対策を怠っていることが多いです。
その点、ITリテラシーの高い利用者が多いほど狙われる確率は下がるし、また狙われても利用者側のスキルで回避できる確率が高まるでしょう。
攻撃者がカモりたいのはITリテラシーが低くて年齢層が高いお金持ちです。
楽天銀行と住信SBIネット銀行のセキュリティには大きな差がありますが、楽天銀行としてはこうした実態を踏まえてセキュリティ対策のレベルを決定しているのかもしれません。
つまり楽天銀行側にとっては二要素認証やトランザクション認証は過剰品質であり、例え少額の被害が出ても補填する方が費用対効果に優れるのかもしれません。
利用者はどうすればよいのか?
私は用途に応じて銀行を使い分けるのがよいと思います。
貯蓄などメインのネット銀行はセキュリティ対策がしっかりしている住信SBIネット銀行がおすすめです。
私は楽天銀行、住信SBIネット銀行、両方に口座を開設していますが、楽天銀行はほぼ使っていません。
住信SBIネット銀行はNEOBANKというスマホアプリによってログイン認証とトランザクション認証を提供しており、サイバーセキュリティ対策は明らかに楽天銀行よりも勝っています。
楽天銀行が適切な仕組みを導入しない限り潜在的なセキュリティリスクは存在し続けますので、利用するのであれば以下のような配慮が必要でしょう。
1の危険性については先に紹介した二要素認証がないこと、トランザクション認証がないことの2点です。
2の必要なセキュリティ対策については以下の記事で紹介しています。
3の用途の限定については先に述べたような楽天経済圏の利用のためだけにするなどがよいのではないでしょうか。
楽天銀行はメインのネットバンクとして使うにはセキュリティ的に脆弱です。
利用を中止するデメリットと対処
仮に楽天銀行の利用をやめると以下のような点をデメリットと感じる人がいるかもしれませんので、私の個人的な考え方を紹介しておきます。
マネーブリッジが使えなくなる
マネーブリッジが使えなくなる点については、私は特に気にしなくていいと考えています。
私は無リスク資産(余剰資金)の運用方法については以下のような選択肢を考えています。
1.何もしない
私は主に1の何もしないを選択しており、インデックス投資で楽天証券を利用していますが、楽天銀行との口座連携サービスであるマネーブリッジについては利用していません。
待機資金はすべて楽天証券の余力として預けてあるだけで、雀の涙の普通預金の金利よりも安全性を重視した結果です。
2021年10月時点で、マネーブリッジで得られる金利は税引き後0.079%で1,000万円あたり年間7,900円ですが、株式インデックスであれば利回り5%で1,000万円あたり年間50万円です。
株式のリターンと普通預金の銀行金利を比較するのは適切でないかもしれませんが、運用全体としてはバイ・アンド・ホールドで十分なリターンが得られれば、デフレでマイナス金利下の銀行預金金利にはこだわらなくてよいと考えています。
こうした考え方の根拠として、今回の話とは少し主旨が違いますが、ジム・ロジャースさんが以下のようなことを言っています。
あなたが投資をすべきなのは、目の前にチャンスが転がっている時だけだ。それ以外の大半の時間は、何もしなくていい。銀行にキャッシュとして置いておけばそれで十分だ。いつでもマーケットに飛び込まなければいけない、というのは良くない考えだ。
ジム・ロジャースさんはキャッシュとして温存することの重要性を説いており、私はこれを拡大解釈してキャッシュから金利が得られない点にも当てはめています。
何でもかんでも常にリターンを得ることばかりを考えるのではなくて、無リスク資産としての役割が果たせていればOKだという考え方です。
そもそも銀行預金のペイオフを考えれば保護の上限は1,000万円までですから、これを超えるキャッシュについても銀行預金の金利を取りに行く人はいないでしょう。
2.個人向け国債(変動10年)を買う
しかし待機資金を少しでも有効活用したいということであれば、優遇金利より利回りは下がりますが2の個人向け国債(変動10年)はよい選択だと思います。
変動金利型なので将来金利が上がっても自動で追尾しますし、先進国である日本の国債ですから信用力は最高です。
安全性、信頼性に加えて、ペナルティを払えば途中売却も可能なので換金性もあり、当然流動性もあります。
上限額もないので1,000万円を超えようが好きなだけ買うことができます。
この記事は楽天銀行のセキュリティの甘さがテーマですが、個人向け国債であれば盗難に合うリスクもありませんね。
3.SBI証券+住信SBIネット銀行に変える
そしてやはり普通預金が使い勝手がよいということであれば3のSBI証券+住信SBIネット銀行がよいと思います。
住信SBIネット銀行では楽天銀行のマネーブリッジに相当するSBIハイブリッド預金が使えます。
SBI証券はネット証券でトップシェア、住信SBIネット銀行はネット銀行の安全性、先進性でトップでしょう。
SBI証券と住信SBIネット銀行は生体認証とデバイス認証を組み合わせたFIDO認証という二重の二要素認証が導入されています。
SBIグループに変えると証券口座が増える
こうした経緯によって証券口座を複数持つことに抵抗がある人もいるかもしれませんが、私はこれもまったく問題ないと考えています。
例えばNISAや確定拠出年金(iDeCoなど)は割と頻繁に制度改革があり、長期投資の場合は振り回されがちです。
ひとつの証券会社、口座ですべてをカバーするオールインワンというと聞こえがいいですが、実際の長期投資ではかなり無理が生じます。
そこで資産の管理はスプレッドシートなどで全体を統合してしまえば証券会社や口座が分かれても何ら問題はないでしょう。
私はインデックス投資14年目で複数の証券口座に資産が散らばっていますが、基本的にやることは何もないのであちこちに資産を保有していても管理上、運用上の不都合などは一切ありません。
まとめ
楽天銀行のセキュリティの甘さ2点とその背景の考察を紹介しました。
こうした背景としては楽天銀行特有の利用者属性・状況などが考えられますので、利用者側で必要な対策を取るのが賢明と考えられます。
ネットバンクは安全性に配慮した使い方をしましょう。
