日本証券業協会が多要素認証の設定必須化を決めた証券会社リストを公開

証券会社が多要素認証を必須化

個人の証券口座が不正にログインされ、中国株や国内小型株などを勝手に買い付けされる被害に対応するため、日本証券業協会に加盟する多くの証券会社が、インターネット取引のログイン時に「多要素認証（Multi-Factor Authentication：MFA）」の設定を必須化する方針を明らかにしています。株取引の迅速性を損なわないように、ログイン時に多要素認証を行う方法でセキュリティを強化する狙いです。

急増している証券口座乗っ取りと不正アクセスの手口とは

フィッシングやマルウェアによってIDやパスワードなどの顧客情報を搾取する手口が増加しています。それらを悪用し、インターネット取引において不正アクセスやなりすまし取引が多く発生しています。金融庁によると、証券会社のインターネット取引サービスにおける不正アクセス・不正取引被害は2025年に入ってから急増しています。

今回、顧客情報を詐取した手口については、証券会社を装った偽メールやスマートフォンのショートメッセージサービス（SMS）で利用者をフィッシングサイトへと誘い込み、認証情報を入力させるフィッシングや、個人のPCやスマートフォンをマルウェアやスパイウェアに感染させ、キーボード入力情報や保存された情報を詐取する方法などが行われているようです。

インターネット取引のログイン時に、ID・パスワード等が搾取される、証券口座を乗っ取られてしまいます。詐欺グループは、乗っ取った口座の株を売って自分たちが持っている株を買うことによって株価をつり上げ、その株を売り払うことで利益を得ていたと考えられています。

「知識情報」「所持情報」「生体情報」の2つ以上を組み合わせる多要素認証

今回の証券口座への不正アクセスなどへの対策として、証券業界では投資家の金融資産を守り、安心して取引できる環境を提供するために、インターネット取引のログイン時に多要素認証の設定を必須（明示的にそれを望まない顧客を除く）とする対応を進めています。

日本証券業協会は、インターネット取引のログイン時に多要素認証の設定必須化を決定した証券会社のリストをWebサイトで公表しており、多要素認証の設定を必須化する証券会社は増加傾向にあります。多要素認証の必須化の具体的な対応開始時期については、証券会社ごとに異なるといい、詳細は口座を持っている証券会社に確認することが必要です。

多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証することを指します。多要素認証の中でも2つの要素を使う認証のことを2要素認証と呼びます。多要素認証の具体例としては、知識情報であるID・パスワードで認証した後に、所持情報であるユーザーが持っているデバイスやアプリにショートメッセージで送ったパスコードを入力させたり、指紋や顔（生体情報）などを用いた認証と組み合わせたりするなどがあります。

多要素認証を用いることでセキュリティレベルを高めることができるため、最近は多くのサービスで、端末へのログインやWebサービスに多要素認証を導入するケースが増えています。証券業界でも、すでに多要素認証を取り入れていた証券会社もありますが、今回の問題を受けて、多要素認証の設定を必須にすることでセキュリティを高める狙いがあります。

株取引の迅速性を維持するため、ログイン時の多要素認証を選択

株取引は刻々と相場が動くため、多要素認証の必須化を否定的に考える顧客もいるといいます。これに対し日本証券業協会は、株取引の執行時でなくログイン時の多要素認証であれば、取引手続きの迅速性が失われるわけではないと説明しています。ユーザー目線に立つと、株取引の利便性や迅速性を維持できるシンプルで使いやすい認証方法が求められています。

証券会社が導入する多要素認証の方法にはいくつかあります。ワンタイムパスワードやプッシュ通知承認、指紋認証のほか、専用ハードウェアによるワンタイムパスワードトークンなどを活用する方法もあります。すでに多要素認証を導入していた証券会社もあり、今後必須化を担保するための施策が各証券会社によって進められます。

例えば、従来からあったセキュリティ対策である「ワンタイムパスワード」を活用するケースもあり、これまで「ワンタイムパスワード」を利用していなかった顧客に対し、活用を促しています。具体的には、ログイン時に登録のメールアドレスに対し認証コードが送信され、「お客様コード」や「ログインパスワード」の入力に加えて、「ワンタイムパスワード」や「認証コード」などの入力が必須になります。すでにワンタイムパスワードを利用している顧客はそのまま利用できます。

また「デバイス認証」を活用する方法もあります。顧客が利用している端末を認証することで、証券会社のWebサイトにログインできる端末を制限する方法です。証券会社のサーバーから顧客の端末へ識別情報を発行し、ログイン時にその識別情報を確認することで、ログイン認証を行います。スマートフォンを使っている場合は、スマートフォンの生体認証（顔認証・指紋認証など）を使って、ログインすることができる方法を活用するケースもあります。

弊社はお客さまのご要望に合わせて製品を提案しております。

◎管理者負担を軽減するなら
■QRコードOTPトークン「c610」

ユーザー自身で画面に表示されたQRコードを読み取るだけで登録完了。
操作はMicrosoftやGoogleなど他のAuthenticatorアプリと同じです。

◎セキュリティ重視なら
■BioPass FIDOセキュリティキー

指紋認証に対応したFIDOセキュリティキーを利用することで
ID/パスワードを入力することなく高セキュリティ。
操作も指紋センサーにタッチするだけです。

関連記事

●ログイン時の多要素認証で不正アクセス防止

●Microsoft 365の多要素認証（MFA）必須化にハードウェアトークン

●教職員の多要素認証（MFA）について

●ChatGPTに多要素認証（MFA）を導入

●多要素認証（MFA）にはクラウドで

●Microsoft Office 365の多要素認証（MFA）について

●Authenticatorアプリの代替機を使った多要素認証（MFA）

●Salesforceの多要素認証（MFA）の設定方法

●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

●Amazon Web Services（AWS）MFAを必須化