つばめが映す自由帖

家計管理や資産運用、働き方の見直しなどを通じて、“よりよい暮らし方”を模索する日々を綴るブログです。

トップ > 投資・資産形成 > 楽天証券での不正アクセス被害の報道を受け各証券会社のセキュリティ設定を見直し

楽天証券での不正アクセス被害の報道を受け各証券会社のセキュリティ設定を見直し

投資・資産形成

先日来、楽天証券における不正アクセス被害が大々的に報道されています。幸いなことに僕自身や家族は被害を受けていませんが、金融資産の殆どを投資信託や個人向け国債で所持しており、少額とは言い難い金額を運用しているため、仮に楽天証券やSBI証券で不正アクセスを被るとその影響は甚大なものがあります。今までは利便性を優先し、ランダム生成の複雑なパスワードを使用する程度に留まるセキュリティとしていましたが、今回の報道を受け、楽天証券をはじめ口座を開設している各証券会社のセキュリティ設定の見直しを行いました。

 

 

楽天証券における不正アクセス被害の概要を整理

まずは楽天証券における不正アクセス被害の概要を整理し、どのような対策が必要になるのかを確認します。テレビ朝日の報道によると、具体的な不正アクセス被害の内容は以下のようなものです。

  • 保有する資産を勝手に売却されたうえ、中国株を大量に購入させられていた
  • 楽天証券はフィッシング詐欺によるものでIDやパスワードの流出ではないと主張している
  • 一方で、被害者は詐欺メールか否かに関わらず楽天証券からのメールは読んでおらず、リンクも踏んでいないと主張している

news.tv-asahi.co.jp

 

楽天証券と被害者で主張が食い違っていますが、被害者がフィッシング詐欺に引っかかったことに気づいていない(自覚がない)可能性も考えられます。このため、「楽天証券が嘘をついており、原因は外部からの不正アクセスにある」と断定することもできません。

 

一方で、フィッシング詐欺には引っかかっていないと主張する被害者がいる以上、「外部からの不正アクセスはなかった」と言い切ることもできないことになります。いずれにしろ、今できることは個人レベルでしっかりとセキュリティ対策を行っておくことになります。

 

個人レベルで行うべきセキュリティ対策とは

報道から判断する限りでは、外部からの不正アクセスによるID・パスワード流出の可能性も完全には捨てきれません。この点も踏まえ、考えられる対策としては以下のようなものがあります。

  • パスワードの複雑化と管理強化。これは証券会社への直接的な不正アクセスによるID・パスワード流出には効果がないものの、辞書攻撃やクレデンシャルスタッフィング*1の対策としては有効なので、やらない理由はありません
  • 二要素認証の導入。やはり外部からの不正アクセス対策の本丸はこちら。昨今の不正アクセス被害の増加を受けて証券会社に限らず多くのサービスで導入されています。ログインのたびにイチイチSMSや一時パスワードでの追加認証が発生するため利便性は落ちますが、万一不正アクセス被害を受けた際の影響の大きさを考えるとやむを得ません

 

僕はすでにランダム生成した複雑なパスワードをサービス別に設定しており、前者は対策済です。なお、当然ながらすべてのサービスのパスワードを暗記することはできないので、この管理にはパスワード管理アプリ(Bitwarden)を用いています。

 

一方で、定期的に証券口座の残高をチェックしていることもあり、ログイン時の利便性を優先して二要素認証は非使用。しかしながら、今回の報道を受け利便性を犠牲にしてでも二要素認証導入の必要性を強く感じました

 

考えてみれば、僕はタイミング投資はやっておらず先進国株インデックス投信を自動的に積み立てているのみ。証券口座の残高チェックといっても頻度は月一回程度のため、利便性を犠牲にするといっても影響は極めて限定的であると判断できます。

 

各証券会社で二要素認証の設定を行い、セキュリティを強化

早速、セキュリティの強化として各証券会社で二要素認証の設定を行いました。僕の場合はメイン口座であるSBI証券のほか、旧つみたてNISAで使用していた楽天証券、クレカ積立で使用しているマネックス証券、三菱UFJ eスマート証券(旧auカブコム証券)が対象です。

  • SBI証券
    ログイン時の二要素認証として、デバイス認証やFIDO認証(スマホ認証)が設定可能。デバイス認証を設定するとともに、合わせて出金時の二要素認証とログイン通知サービスも設定しました。いずれも、トップページの「口座管理」→「お客さま情報 設定・変更」から設定可能です。

  • 楽天証券
    ログイン時の二要素認証として、メールでの追加認証が設定可能。合わせて出金時の二要素認証も設定しました。いずれもトップページの「マイメニュー」→「セキュリティ設定」から設定できます。

     

  • マネックス証券
    ログイン時の二要素認証として、SMSでの追加認証が設定可能。ログインのほか、登録情報照会・変更と出金指示・即時出金指示にも適用可能なため、合わせて設定しました。トップページの「保有残高・口座管理」→「お客様情報 確認・変更」から設定できます。

     

  • 三菱UFJ eスマート証券(旧auカブコム証券)
    ログイン時の二要素認証として、メールでの追加認証が必須です。ただし、「2024年9月26日以降順次導入」となっているため、現在は導入の過渡期と思われ、この記事の執筆時点では追加認証は求められませんでした。このほか、メールでのログイン通知が設定可能、出金時のメール認証は必須です。メールでのログイン通知はトップページの「設定・申込」→「セキュリティ設定」から設定できます。

*1:流出したID・パスワードのリストを元に不正アクセスを試みる攻撃。複数サービス間で同一パスワードを使いまわしている場合に被害を受けやすい