証券会社における多要素認証(MFA)実現に向けて
近年、金融業界におけるサイバー犯罪の増加が深刻な問題となっている。特に証券口座の乗っ取りやフィッシング詐欺は、顧客の信頼を損ない、企業のブランドイメージにも悪影響を及ぼす。これに対抗するため、多要素認証(以下MFA※1)の導入が急務となっている。今回は、証券会社におけるMFAの重要性とソリューションについて説明する。
業界全体でセキュリティ対策を強化
金融業界は、サイバー犯罪者にとって魅力的なターゲットだ。特に証券口座の乗っ取りは、顧客の資産を直接的に脅かす行為であり、場合によっては株価操作にも悪用される可能性がある。そのため迅速な対応が求められる。2025年4月に日本証券業協会が発表した通り、すでに多くの証券会社がMFAの設定必須化を決定している。
MFAは、ユーザーがログインする際に、パスワードに加えて追加の認証を要求する仕組みだ。不正アクセスのリスクを低減し、セキュリティの向上が期待できる。
証券会社におけるMFA対応方法
証券会社がMFAを実装する際は、専用のソリューションを適用することをお薦めする。例えば、Oktaの「Auth0」というサービスがある。Auth0はID管理と認証強化を提供するプラットフォームであり、Webアプリケーションの開発者がセキュリティ機能を簡単に統合できる。Auth0の主な機能は以下の通りとなっている。
・多様な認証手段
SMSやメール、 Google の「 Google Authenticator 」といった認証アプリ、生体認証などのさまざまなMFA実装のためのオプションを提供しており、企業は自社のニーズに応じて選択できる。
・カスタマイズ可能なUI
ログイン画面やサインアップ画面をブランドに合わせてカスタマイズできる。
・簡単な導入と管理
Auth0はSaaS※2で、API※3を利用して迅速に導入できるため、短期間でMFA実装が可能だ。また、管理者はダッシュボードからユーザーのアクティビティを管理できる。

MFAの導入ステップ
まず、提供サービスの現状を分析し、セキュリティリスクを把握する。管理者やメンテナンス業者など、特権ユーザーの認証方法についても考慮する必要がある。これにより、MFA導入箇所と必要性を明確にする。
次に、どの認証方法を導入するかを決定する。顧客のITリテラシーと利便性に配慮して選ぶ必要がある。その際は、下記2点に注意していただきたい。
(1)生成AIを利用したサイバー攻撃
最近では生成AIを使ったサイバー攻撃も増加している。CAPTCHA認証※4(自動車や消火栓などの画像を選ばせる方法)などは、すでに生成AIによる突破が実証済みだ。また、学習させれば突破できそうな認証方法は避けたほうがよい。
(2)リアルタイム型フィッシング
銀行や証券口座では、金銭の移動や情報変更時に、登録している電話番号やメールに送信したワンタイムパスワードを入力させることが多い。リアルタイム型フィッシングはこの認証の流れを突破する攻撃だ。その手順については、図と以下を参照してほしい。
【リアルタイム型フィッシングの流れ】
①攻撃者はフィッシングメールなどで金融機関を装った「偽のWebサイト」のURLを送る。
②ユーザーが攻撃者から送付されたURLをクリックすると本物そっくりのログイン画面が表れ、ID・パスワードの入力画面が表示される。
③ユーザーがID・パスワードを入力しログインボタンを押すと「偽のワンタイムパスワード入力画面」が表示される。
④攻撃者はユーザーが入力したID・パスワードを即座に「本物のWebサイト」に入力し、ログインボタンを押す。そうすると、本物のワンタイムパスワードがユーザーの電話番号やメールに送られる。攻撃者の画面には「本物のワンタイムパスワード入力画面」が表示される。
⑤ユーザーは「偽のワンタイムパスワード入力画面」に本物のワンタイムパスワードを入力する。
⑥攻撃者はユーザーが入力したワンタイムパスワードを即座に「本物のワンタイムパスワード入力画面」に入力し不正アクセスを行う。
MFA導入時には、その時点における最新のサイバー攻撃によるMFA突破状況を確認した上で、強固な方法を選んでほしい。
この後はシステム化だ。前述のAuth0のようなサービスを使えば、APIを用いて既存のシステムと連携し、認証のフローを実現することになる。
いかにユーザーを巻き込めるか
証券会社がMFAの導入をいくら頑張ったとしても、ユーザーの協力なしに安全確保は難しい。設定を面倒に感じる人やITリテラシーに乏しい人もいる。MFAを必須にするのが理想だが、一方的に求めるだけでなく、セキュリティ教室のような説明会の開催や家族全体への働きかけなど、ユーザーに寄り添ったサービスの提供や啓発を行うことが必要かもしれない。
※1 Multi-factor Authentication:不正ログインなどを防ぐために二つ以上の要素を組み合わせて本人認証を行う認証方式。
※2 Software as a Service:インターネット経由で利用できるソフトウェア。
※3 Application Programming Interface:あるソフトウェアやサービスの機能を呼び出して利用したり、情報をやりとりしたりする仕組み。
※4 Completely Automated Public Turing test to tell Computers and Humans Apart:チャレンジ/レスポンス型テストの一種で応答者がBotではないことを確認するために利用される。
〈参考〉
日本証券業協会「不正アクセス等にご注意ください!」
https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/
※Google Authenticator および関連するサービスは、Google LLCの商標です。