2025年6月5日8:45
ELEMENTSグループのLiquidは、このほど、証券業界の不正ログイン対策を強化する新プランの提供を開始した。業界で多要素認証が提唱されるなか、同プランは、スマートフォンやPCと本人を確実に結びつける“バインディング”を行ったうえで、ログイン時には生体認証によるパスキーを活用する。これにより、不正者に知られると突破されてしまうID・パスワードやワンタイムパスワードなどを狙ったフィッシング攻撃からユーザーを保護することが可能になる。
オンライン証券口座を狙った不正アクセスが相次いでいる。金融庁は、不正取引額が今年1月から4月末までの合計で3,000億円超に拡大したと発表している。不正者は、フィッシングやマルウェアなどにより口座を乗っ取り、取引量の少ない株を使った不正売買に悪用している。自らの口座で高値の売り注文を出し、乗っ取った口座から買い注文を出し価格をつり上げ、利益を得る手口だ。結果、乗っ取られた口座に損失が残る。
こうした背景から、業界ではワンタイムパスワードをはじめ複数の認証手段を組み合わせる多要素認証の導入が進んでいる。一方で、所持認証であるワンタイムパスワードもフィッシングで盗まれる事例が発生しており、フィッシング対策協議会は、2024年11月末に過去最高となった不正送金被害額(80.1億円)急増の要因として、ワンタイムパスワードなどを盗むリアルタイムフィッシングを挙げている。米国・国立標準技術研究所(NIST)は、「RESTRICTED(制限付き)」な認証手段と位置づけ、リスクが大きい場合は、「SHALL NOT be used(使用すべきではない)」と示している。また、米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)も2024年12月、SMS認証(一般的にワンタイムパスワードで利用される)は破られるリスクがあり、フィッシング耐性を有する唯一の手段としてFIDOを挙げ、注意喚起が国際的に強まっている。
同プランでは、証券業界における不正ログイン対策を目的に、パスキーによるパスワードレスな生体認証と、スマホやPCと本人を結びつけるバインディングを組み合わせることで、不正ログイン対策を強固にする。パスキーは、スマホやPCに登録された情報にもとづき「その人本人かどうか」を確認し、顔認証や指紋認証でログインできる仕組みだ。画面ロック解除と同じ操作で使うことができ、IDやパスワードを入力しないため、利便性が高く、またフィッシングに強い点が特長だ。
バインディングでは、パスキーの初回登録や、端末買い換えなどで新しい端末で取引開始する際に、口座開設時に確認済みの氏名や生年月日、顔の情報などと、スマホの持ち主の情報が一致するかを確認する。不正な第三者が勝手に自身の端末でパスキーを登録し、不正利用を継続することを防ぐ。バインディングの方法は、ELEMENTSグループによる累計約1.3億件の本人確認実績を背景にした技術だ。まず、本人確認書類のICチップを読み取りでは、運転免許証やマイナンバーカードに内蔵されたICチップから、氏名や生年月日、顔写真などの情報を読み取り、口座開設時に確認済みの情報と照合する。
また、顔認証では、ユーザーによる自撮りの顔画像と、口座開設時に確認済みとして登録されている顔画像と照合するという。
料金は、1パスキー 1ユーザー 1円/月(税抜)からとなる。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト
