楽天市場


今年に入り、大手証券会社10社全てで、フィッシング詐欺が原因と考えられる口座乗っ取り被害が発生し、3000億円を超える不正取引が確認されています。
 




約款等では、不正アクセスに起因する被害は補償されない定めになっていますが、今回の事案については各社ともに被害補償を行う方針となりました。

フィッシング詐欺等による証券口座への不正アクセス等による対応について | 日本証券業協会


国内の証券会社約270社中、オンライントレードを提供している企業は95社あります。
フィッシング詐欺への対策の基本と言えそうなログイン時の多要素認証について、そのうちの74社(5月14日時点)が設定必須化を決定しています。

多要素認証の設定必須化を決定した証券会社


ひとまず既に被害に遭った大手10社について、ログイン時ならびに出金時に多要素認証を行っているかどうかと、リスクベース認証(利用者のネットワークやシステムの環境が以前と異なる場合に別途認証を要求)、通知(ログイン時、出金操作時)、取引パスワード等の追加認証の状況を調べてみました。

また、ログイン時ならびに出金時の多要素認証の必須化の予定についても確認しました。

※セキュリティ面で弱点となりそうな点については、白抜きのマーカーで示しています。

セキュリティ|SBI証券フィッシング詐欺対策:
・ログイン時多要素認証(デバイス:Web、FIDO:アプリ)
・リスクベース認証(生年月で追加認証
・出金時多要素認証(ワンタイムパスワード:メール)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:5月9日以降必須化済
・ログイン:5月31日以降順次必須化


2025年6月1日(日)よりログイン追加認証(多要素認証)が必須化されます | 楽天証券フィッシング詐欺対策:
・ログイン時多要素認証(アイコン指定順:メール)
・リスクベース認証(電話番号またはSMS)
・出金時多要素認証(ワンタイムパスワード:SMS)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:任意
・ログイン:6月1日以降必須化


NOMURAアプリご利用時のワンタイムパスワード(多要素認証)設定必須化および「野村の証券取引約款」等の一部改定についてフィッシング詐欺対策:
・ログイン時多要素認証(ワンタイムパスワード:アプリまたはメール)
・リスクベース認証(ワンタイムパスワード:アプリまたはメール、未登録時は郵便番号+生年月日+電話番号下4桁
・出金時多要素認証(ワンタイムパスワード:アプリまたはメール)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:5月12日以降必須化(アプリ利用者のみ
・ログイン:5月12日以降必須化(アプリ利用者のみ


日興イージートレードのログイン時に二要素認証(ワンタイムパスワード認証)が必須になります | SMBC日興証券フィッシング詐欺対策:
・ログイン時多要素認証(ワンタイムパスワード:メール)
・リスクベース認証(ワンタイムパスワード:メールまたはSMS、未登録時は郵便番号+生年月日
・出金時多要素認証(ワンタイムパスワード:SMS)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:任意
・ログイン:6月上旬以降必須化


【重要】オンライントレードのセキュリティ強化について(2025年5月11日実施)【更新】 | 大和証券フィッシング詐欺対策:
・ログイン時多要素認証(ワンタイムパスワード:メール)
・リスクベース認証(ワンタイムパスワード:メール)
・出金時多要素認証(ワンタイムパスワード:メール)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:2022年3月に必須化済
・ログイン:任意(設定後は解除不可)→6月下旬から7月中旬頃に必須化


【重要】ログイン時の多要素認証を必須化します | 最新情報 | マネックス証券フィッシング詐欺対策:
・ログイン時多要素認証(ワンタイムパスワード:SMSまたはアプリ、未登録時はメール)
・リスクベース認証(ワンタイムパスワード:メール、秘密の質問:任意設定)
・出金時多要素認証(ワンタイムパスワード:SMSまたはアプリ)
・通知(ログイン:リスクベース認証時のみメール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:任意
・ログイン:5月30日以降順次必須化(SMSまたはアプリでの多要素認証未設定の利用者にメールを必須化)


不正アクセスおよび取引に対する当社の対応について | 三菱UFJ eスマート証券フィッシング詐欺対策:
・ログイン時多要素認証(リスクベース認証が必要な時のみ
・リスクベース認証(ワンタイムパスワード:アプリまたはメール、未登録時は口座番号+名前+フリガナ+生年月日を入力後に通知先選択)
・出金時多要素認証(ワンタイムパスワード:メール)
・通知(ログイン:メール、出金:メール)
・出金パスワード
多要素認証必須化:
・出金:2024年9月に必須化済
・ログイン:リスクベース認証時のみ必須化済→今後すべて必須化予定(時期未定)


【5月12日(月)より開始】『みずほ証券ネット倶楽部』登録メールアドレスによるログイン追加認証についてフィッシング詐欺対策:
・ログイン時多要素認証(リスクベース認証が必要な時のみ
・リスクベース認証(ワンタイムパスワード:アプリ、未登録時はメール)
・出金時多要素認証(ワンタイムパスワード:アプリ、未登録時は取引パスワード)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:任意
・ログイン:リスクベース認証時のみ5月12日に必須化済→今後すべて必須化予定(時期未定)


【更新】【重要】ログイン時の「電話番号認証」が必須になります(5/30(金)以降順次)| 松井証券フィッシング詐欺対策:
・ログイン時多要素認証(電話番号)
・リスクベース認証(追加認証なし
・出金時多要素認証(電話番号またはワンタイムパスワード:SMS)
・通知(ログイン:メール、出金:メール)
・取引パスワード
多要素認証必須化:
・出金:任意
・ログイン:5月30日以降順次必須化


ワンタイムパスワード|オンライントレード・テレフォントレード|三菱UFJモルガン・スタンレー証券株式会社フィッシング詐欺対策:
・ログイン時多要素認証(ワンタイムパスワード:メール)→生体認証利用時でも必要かどうかは非公表
・リスクベース認証(実施しているが詳細は非公表)
・出金時多要素認証(ワンタイムパスワード:アプリ)
・通知(ログイン:多要素認証のメールが通知に相当、出金:多要素認証のアプリへのプッシュ通知が相当)
・取引パスワード
多要素認証必須化:
・出金:6月9日以降必須化
・ログイン:5月26日以降必須化


以上、各社ともにまだ手探りでセキュリティの強化を行っている様子です。
今のところ、特に弱点が見られないのは大和証券、三菱UFJモルガン・スタンレー証券です。
いずれ、弱点は埋められるとは思いますが。

でも、多要素認証で防御されているから安心ともいきませんので、くれぐれもご注意ください。