楽天証券を発端とする証券会社への不正アクセス問題は、SBI証券やマネックス証券など他社へも波及し、報道量の増加とともに社会問題化しています。このような状況を受け、各社がセキュリティ対策の強化に乗り出しており、つい最近まで任意であった多要素認証の設定が必須化しつつあります。僕も楽天証券での不正アクセス被害の報道が出回り始めた1か月ほど前にセキュリティ設定を見直したものの、被害の深刻化とセキュリティ対策強化の流れを踏まえ、今回の連休中に改めて全証券口座の設定を総点検することにしました。本記事では、僕自身が開設している証券会社を例に、いつから、どのように多要素認証を必須化しているのかを整理します。
- 多要素認証といっても証券会社により実装方式は様々
- 本質的なセキュリティ対策として、重要操作時の追加認証も求めたい
- 未使用口座はセキュリティホールになり得る。解約を積極的に検討
- 真に重要なのはGmailのセキュリティ対策ではないか
多要素認証といっても証券会社により実装方式は様々
「多要素認証」とひと口にいっても、その具体的な実装方式は証券会社ごとに異なります。ここでは、僕が利用している証券会社を対象に、それぞれの認証方式とセキュリティ面の特徴および多要素認証必須化の開始時期を整理してみたいと思います。
なお、1か月前にセキュリティ設定を見直した際には、SBI証券はデバイス認証、楽天証券はメール認証、マネックス証券はSMS認証を二要素認証として設定しました。この内容は、以下の記事にまとめています。
- 楽天証券(2025年6月1日~必須化)
画像認証。ID・パスワードに加えて、登録メールアドレス宛てに送信される絵柄と同一のものを画面上で選択するもので、僕はすでに設定済であるたため、今回の点検でも特に設定の変更は行いませんでした。
この方式はフィッシング詐欺対策に主眼をおいたものです。フィッシングサイトは実際に送信された画像の内容を知ることができないため、画面上の選択肢に正しい絵柄を含めることが難しく、ユーザーの違和感によって気づきを促す方式です。
フィッシング詐欺対策には有用である一方、不正アクセス対策の観点では強度はやや劣ります。メール送信は通信を介するため頻度としては少ないものの盗聴リスクがあり(SMS認証も同様)、不正アクセスのリスクを完全に排除できるとはいえません。
これに対し、Google AuthenticatorなどのTOTP(時間ベースのワンタイムパスワード)方式はスマホアプリとWebサイト双方で時間同期により生成するコードに基づき認証するため、通信を介さない分盗聴にも強いという利点があります。 - SBI証券(2025年5月31日~いずれも必須化)
デバイス認証およびスマホ認証。Webブラウザからの利用時はデバイス認証、スマホアプリ・PCツールからの利用時はスマホ認証となり、双方の設定が必須となります。
まず、デバイス認証は未登録のデバイスからのアクセス時に登録メールアドレス宛に送られる認証コードで追加認証を行う方式です。SMS認証と比較するとSIMスワップ対策としては有利であるものの、通信を介するため盗聴リスクは残ります。デバイス認証については、僕はすでに設定済です。
一方、今回の点検で追加設定したのはスマホ認証です。SBI証券のスマホ認証は、現代で最も強力な認証技術ともいわれているFIDO認証の一種であり、スマートフォンに登録された生体情報(指紋・顔認証など)などを用いるもので、通信を介さないほかなりすましにも強いのが特徴です。https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=none&dir=service&file=home_security_fido.html
高度なセキュリティ対策であるFIDO認証ですが、あくまでスマホアプリやPCツールからの利用時に限定されており、Webブラウザからの利用時はデバイス認証となる点には要注意。SBI証券は追加認証不要のバックアップサイトを長らく残していこともあり、セキュリティ上の”穴”が残存している状態を早く改善していただきたいものです。 - マネックス証券(2025年5月30日~必須化)
SMS認証もしくはスマホ認証のいずれかを選択。僕はすでにSMS認証を設定していましたが、今回の点検により、通信を介さないためよりセキュリティ強度の高い、Google Authenticatorによるスマホ認証(TOTP方式)に変更しました。
TOTP方式はGoogle Authenticatorなどのアプリに表示される6桁のコードを用いて本人確認を行うものです。この方式は通信を介さずにリアルタイムで端末とサーバーが同期してコードを生成するため、盗聴やSIMスワップのリスクがなく、安全性が高いのが最大の利点です。
本質的なセキュリティ対策として、重要操作時の追加認証も求めたい
一部の証券会社は今回の二要素認証必須化を「フィッシング対策」と銘打っているものの、セキュリティ対策において本質的に重要なのは「なりすまし対策(=不正アクセス後の被害抑止)」です。フィッシング対策は入口での事故防止であり、万が一認証を突破されたとしても、重要操作や情報閲覧に再認証が必要であれば致命的な被害は防げます。
本記事の執筆時点では、楽天証券、SBI証券、マネックス証券いずれも出金などの重要操作においては、ログイン認証に加えて取引パスワードにおよび追加認証が求められます。ただし、追加認証が必要な場面やその方式は各社異なり、出金を例に挙げると、SBI証券は登録メールアドレスへのワンタイムパスワード送付、楽天証券はSMS認証、マネックス証券はSMS認証或いはスマホ認証(ログイン時の二要素認証と同様)が求められます。
理想的には、ログイン認証以外の重要操作時(売買や出金、個人情報の閲覧など)には、TOTPやFIDOといった強力な方式による追加認証が求められるべきで、各社には改善をいただきたいところです。
未使用口座はセキュリティホールになり得る。解約を積極的に検討
取引頻度には差があるものの、楽天証券・SBI証券・マネックス証券の3社は、僕にとってはいわば「生きた口座」です。定期的にログインし、口座残高や取引履歴の確認も行っているため、一定のセキュリティ意識をもって管理しています。
一方で、僕はこのほかに三菱UFJ eスマート証券(旧auカブコム証券)および大和コネクト証券の口座も保有しています。これらはいずれも、クレジットカードでの投信積立によるポイント還元を目的に開設しました。しかし、両社ともに還元率が改悪されてしまったため、現在は積立を停止しています。
従来であれば、このような口座であっても将来のキャンペーン開催を期待して放置していたところですが、未使用口座はログインもセキュリティ設定の見直しも億劫になりがちです。結果としてセキュリティホールになりやすく、攻撃者にとっては“狙いやすい口座”になってしまうリスクがあります。このため、口座自体の解約をより積極的に検討していきたいと思います。
証券口座の解約に際しては、まず保有資産をゼロにしておく必要があり、投資信託や株式を売却する、他社へ移管するなどの対応を済ませた上で手続きをすることになります。具体的な解約方法は証券会社ごとに差異があり、サポートセンターへの電話連絡、アプリ上での手続きといったものがあります。
三菱UFJ eスマート証券(旧auカブコム証券)は、サポートセンターに電話連絡して口座解約依頼書を請求し、必要事項を記入の上で返送する流れになります。
一方で大和コネクト証券は、アプリからの手続きのみで解約が可能です。ただし、保有資産をゼロにするにあたり、投資信託は他社への移管(出庫)ができない点には要注意で、売却するしか手段がありません。
三菱UFJ eスマート証券は保有していた投資信託をすでにSBI証券に移管済であるため、粛々と解約手続きを進めようと考えています。
一方、大和コネクト証券は出庫できない投資信託が残っており、この売却はトランプ関税による相場の下落の回復を待ってからにしようかと思案しているところです。
真に重要なのはGmailのセキュリティ対策ではないか
最後に。ログインや重要操作における二要素認証が必須になりつつあるものの、真に重要なのはGmail(Googleアカウント)のセキュリティ対策ではないかと考えています。
証券会社に限らず、ログインIDやパスワードを失念した場合、登録メールアドレスにパスワードリセット用のURLを送付し、そこから手続きするという方式を非常によく目にします。したがって、登録メールアドレスが何らかの方法で乗っ取られてしまうと、それだけで証券口座を含む多数のサービスにアクセスされてしまう可能性があります*1。
証券口座や各種サービスで二要素認証を設定していたとしても、Googleアカウントに蓄積された個人情報を悪用されれば、本人になりすまして携帯番号を乗っ取る(=SIMスワップ攻撃)ことも考えられます。こうなると、SMS認証は無力になります。
したがって、Gmail(Googleアカウント)こそがセキュリティの最終防衛ラインであり、突破されると芋づる式に被害が広がる恐れがあります。Googleアカウントのセキュリティ設定は定期的に見直しておくべきといえます。
僕もGoogleアカウントの設定を改めて見直しました。Googleだけあってさすがに強固なセキュリティ設定が可能なほか、自身のセキュリティ設定が妥当かどうか診断できるツールも用意されています。便利な機能なので、是非活用することを推奨します。
*1:通常のログインでは二要素認証が必要であっても、パスワード再設定の手続きはメールアドレスだけで完結したりと、セキュリティが緩いケースも想定されます
