「40秒って短すぎる!まるでタイムアタックだ」「メール届くのが遅くて、待ってる間にタイムアウト…」
【映像】「まるでタイムアタック…」実際の認証画面
今年に入り相次いでいる、証券口座の乗っ取り事件。8月7日の金融庁の発表によると、不正アクセスによる売買総額(1月~7月)は約6200億円に上っている。証券会社は対応策としてログインや認証を厳しくするなどの対応をしているが、厳しくなりすぎてシステムに入れなくなる人も出ている。
SBI証券はセキュリティ強化のため、8月9日からデバイス認証の方法を変更した。新方式では、サイトにログインする際に、認証コードが正規サイト上に表示される。同時に、送られてくるメールに記載されたURLから別ウィンドウで入力画面を開き、サイトに表示されたコードを入力。さらに、メインサイトに戻ってデバイス登録を行うという流れだ。
認証コードの表示時間はわずか“40秒”。40秒経過すると新しい認証コードに更新される。更新は最大5回までで、与えられた時間は1回あたり最大で40秒×5回の“200秒”である。
この一連の作業を200秒以内に完了させられないユーザーが続出したほか、そもそも時間内にURLが記載されたメールが届かず、コード入力ができないケースも相次いだため、SBI証券には問い合わせが殺到した。
では、なぜこのような方式が採用されたのだろうか。背景にあるのは「リアルタイムフィッシング詐欺」対策だった。
「リアルタイムフィッシング詐欺」とは、ユーザーの認証情報をリアルタイムで盗み取り、その場で悪用する巧妙な手口だ。
攻撃者は、偽メールなどでユーザーをフィッシングサイトへ誘導し、ユーザーが入力した「ID・パスワード」を入手。偽のサイトでは「認証中」などと表示しユーザーを待たせ、その隙に正規のサイトへ盗み取った情報を入力する。ユーザーには2段階認証のための「ワンタイムパスワード」が送られてくるが、攻撃者は偽の認証画面に入力された「ワンタイムパスワード」も即座に奪い、不正アクセスを行う。
これを防ぐため、新方式では認証コードを送信せず、正規のサイトに表示。企業ロゴ付きの公式メールで「認証コードの入力画面のURL」を送信することで、偽サイトへの入力を回避できる仕組みだ。これにより、登録メールアドレスの持ち主だけが認証される。
SBI証券は「メール遅延は、お盆休みでメールサーバーへのアクセスが集中したことが原因とみられ、8月13日の午前に解消した」と説明。
40秒という時間設定については「『短い』というお客様の声は届いている。一方で、犯人グループはいろいろな方法で不正なアクセスを試みる。何が起きるかわからないというリスクも考慮しながら、今後の対応を日々確認している」としている。
多くの被害を出している、証券口座乗っ取り問題。証券会社は補償を表明している。
野村ホールディングスは、顧客に過失がない場合は原則、被害が起きる前の状態に戻すとして、その費用として66億円を計上している。また、SBI証券、楽天証券、松井証券は原則として被害額の半分を、SMBC日興証券、大和証券などは被害補償を行う方針を公表している。
補償内容が証券会社により異なるが、証券会社が損失補填をする必要はあるのだろうか。
ニュース番組『ABEMAヒルズ』コメンテーターで、証券会社の勤務経験もある肉乃小路ニクヨ氏は次のように述べた。
「約款上の免責事項に該当すれば、本来、補償する必要はない。しかし、認証方式で証券会社側の安全管理にも瑕疵があったりする。責任の取り方でネット証券や対面で温度差はあるが、このような補償の手続きを取ることになったのではないかと思う」(肉乃小路ニクヨ氏)
(『ABEMAヒルズ』より)