こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- ネット証券のセキュリティーに関心がある人
この記事の目的
楽天証券の「ログイン追加認証サービス」を紹介します。
2020年9月にSBI証券で顧客資産の流出事件が発覚して以降、ネット証券各社はセキュリティー対策に力を入れています。
今回の楽天証券の対応もこうした流れに沿ったものになりますので、自分が被害にあってから「知らなかった」ということのないようしっかりチェックしておきましょう。
楽天証券の「ログイン追加認証サービス」とは?
楽天証券は2021年9月19日よりセキュリティ向上のための「ログイン追加認証サービス」を導入しています。
どういったものかというと、
事前に追加認証サービスの利用登録をしていただくと、ログインの際にログインIDとパスワードに加えて追加認証コード(絵文字)をご利用いただけます。これにより万が一ログインIDとパスワードが第三者に知られた場合にも被害の防止につながり、より安全にお取引いただけます。
画像を用いたログイン追加認証サービスの導入について(9/19~) | 楽天証券
仕組みとしてはワンタイムパスワードの画像版といった感じで、登録メールアドレスに2点の画像の組み合わせが送られてくるので以下のような選択肢の中から選ぶというものです。
画像は数百種類用意されており、2点の組み合わせがその都度変わるのでパスワードや合言葉などと違って第三者に情報が漏洩することがないため安全が保たれるという仕組みです。
不正侵入に対して効果があるのでユーザーは積極的に利用すべきでしょう。
使ってみた感想
早速私も設定しました。
利用は上記の画面から設定変更で「ログイン追加認証」を有効化するだけなので至って簡単です。
使ってみて感じたのは、ログインのための手順がひと手間増えるので煩わしいと思いました。
証券口座はネットバンクと違って不正侵入が不正送金にすぐさま直結しません。
これは出金先口座の銀行口座の名義人が証券口座の名義人と同一であることが条件になっているためで、SBI証券の不正送金事件では銀行をも騙して口座開設されていたという過去にない手口でした。
したがってログインと出金を比べると普通は出金の方が回数が少ないと思われるので、証券口座のログインについてはID/PWだけでもいいかもしれないな、とか感じました。
ま、インデックス投資の場合はそう頻繁にログインしませんからあまり影響はないので私はこのまま「ログイン追加認証」を有効化したまま使います。
金融機関のセキュリティ対策事情
世の中には普通の常識で考えたら決して騙されないような未亡人詐欺とか国際ロマンス詐欺などの手口に引っ掛かる人が必ずいます。
100人とか1,000人とかならゼロでも数万〜数十万人と母数が大きくなると正常な判断を下せない人が必ず混じり、そうした人が大金を差し出してしまいます。
証券口座の場合はこうした詐欺行為に引っ掛かかるというより、利用者の不注意で盗まれるのですがメカニズムとしてはどちらも一緒です。
利用者の不注意、つまり自分で標準的なセキュリティ対策が取れない人というのが一定数存在することを想定した場合、金融機関としてはやや過剰と思える対策も実施せざるを得ないのでしょう。
利用者としてはセキュリティが向上するのは歓迎ですが、極端に使い勝手が悪くならないことを期待しています。
利用者が気をつけるべきことについては後ほど紹介しますが、このような事情を理解しておくとセキュリティ事故のニュースに過剰反応しなくて済むでしょう。
楽天証券のセキュリティ対策
プレスリリースを見ると今回の画像を使った認証は特許技術が用いられているとのことです。
楽天証券、特許技術を用いた「ログイン追加認証サービス」の提供を開始 | 楽天証券
楽天証券はログイン時以外にも以下のような対策を取っているとしています。
特に、暗証番号や出金先金融機関の変更 時、出金時など各種お手続きの際に、SMS による二要素認証を行うほか、パソコン向け株式トレーディ ングツール「MARKETSPEED II®」へのログイン時に、スマートフォンの生体認証(指紋や顔)による 二要素認証を採用するなど、様々な対策を行っています。
二要素認証はセキュリティ効果が高いので導入は歓迎ですが、楽天証券ではSMS、生体認証、今回の画像認証とやり方が分かれてしまっている点でユーザーの利便性を下げている可能性があります。
個人的にはマネックス証券が導入したTOTPによるワンタイムパスワードあたりに統一するのが無難なんじゃないかと思うのですがどうでしょうか。
二要素認証も複数のやり方を採用することでセキュリティ効果をさらに高める狙いがあるのかもしれませんが。
二要素認証とは?
二要素認証はMFA(Multi-Factor Authentication、多要素認証)と呼ばれ、認証のための要素を複数用いることでセキュリティが突破される確率を限りなく低くすることを目指しています。
一般的にMFAの要素として考えられているのは以下のとおりです。
つまり知識の要素による認証は一度情報が漏れてしまえばたとえ何重に保護を掛けていてもパスされてしまいますが、所有や生体の要素が盗まれて不正利用される可能性は限りなくゼロに近いという点がポイントです。
こうした点を考えると、今回楽天証券が導入した「画像を使った二要素認証」は一般的なMFAの定義から外れているようにも見えます。
画像は要素としては「知識」ですから、今回の仕組みは突破されにくくした二段階認証という感想を個人的には持ちましたがどうなんでしょうかね。
画像を数百種類用意して組み合わせることで突破される可能性は下がるので効果はあると思いますが。
なおMFA、ワンタイムパスワード、今回の楽天証券の画像認証などが設定されていても、PCやスマホの乗っ取り、通信の盗聴、キーロガーなどの各種ウイルス感染系の攻撃に対しては効果が見込めませんので注意しましょう。
ちなみに余談ですが、みずほ銀行のネットバンキング・サービスであるみずほダイレクトでも画像を使ったセキュリティがありますが、あちらは単なるフィッシング対策であらかじめ自分が選んだ画像が表示されていれば正規サイトであることが確認できるという目的です。
またみずほダイレクトでは秘密の合言葉による認証がありますが、あれは完全に二段階認証なのでセキュリティ効果の向上は見込めないというのが現在の一般的な理解です。
みずほ銀行は勘定系のトラブル続きで2021年9月に金融庁の監督下に置かれましたが、あらゆる点で脆弱な印象です。
利用者としては金融機関のセキュリティのレベルもチェックして行く必要がありますね。
ネット証券は安全なの?
証券口座では銀行口座への出金の条件として口座の名義人名が同一であることを求められるため、もし不正侵入されても知らないうちに第三者の銀行口座へ資産が移されるということは基本的にあり得ません。
逆に銀行口座間の資金移動ではこうした制約がないため、不正侵入されたネットバンクで不正送金の被害が多発しています。
またSBI証券の顧客資産流出事件はこうした証券口座の保護の仕組みをかいくぐる巧妙なものだったので大きな話題になりました。
このような背景から元々安全性が高い証券口座においてもサイバーセキュリティ対策が進められています。
今回の楽天証券の「ログイン追加認証サービス」も含め、基本的な対策を怠っていなければ証券口座はお金の保管場所に適していると私は考えています。
まとめ
楽天証券の「ログイン追加認証サービス」を紹介しました。
投資は自己責任といわれますが、口座資産の安全を守るのも投資家の大切な仕事のひとつです。
楽天証券の利用者は今回のリリースを積極的に利用するとともに、セキュリティ対策に抜け漏れがないか確認してはいかがでしょう。