本日の撮り。散歩中に出会った野良の猫。地域柄、野生動物といえば猫ぐらいで、さらに被写体として向き合うことも稀。そんな状況ですが、人馴れしているのか猫の方から近づいてきてくれたので、せっかくなので収めてみました。雨の夕暮れ時で、写真撮影には必ずしもコンディションに優れなかったものの、取り敢えずカメラを携えることで、良い邂逅があったりするものです。
2025年春に世間を騒がせた証券口座の乗っ取り問題。僕もこの報道を契機に、それまで利便性重視で「パスワードのみ」としていたログイン方式を全面的に見直し、デバイス認証やAuthenticator認証を設定しました。あれから約半年が経ち、各証券会社ではさらなるセキュリティの向上を目的に、「パスキー認証(FIDO2ベース)」を導入する動きが広がっています。そこで僕も、この流れを受けてログイン方式をパスキー認証に切り替えました。正直なところ、パスキーの仕組みを詳しく調べたことがなく何となく避けていましたが、いざ導入してみると、堅牢性だけではなく、パスワードマネージャーでの一元管理による利便性向上まで実現できたので、非常に満足しています。
- 証券会社への不正アクセス問題を契機に認証方式を見直したが、利便性が大きく低下
- 新たにパスキー認証を導入。パスワードマネージャーで管理することで利便性も大幅に向上
- 証券各社でパスキー認証を設定した
- 各種サービスのログインにもパスキー認証を採用
証券会社への不正アクセス問題を契機に認証方式を見直したが、利便性が大きく低下
フィッシング詐欺などが疑われる、証券会社への不正アクセス問題が大きく報じられたのは2025年春のことです。保有する資産を勝手に売却され、中国株を購入させられるなどの被害が報告されており、あのテスタさんも口座乗っ取りに遭っています。
僕も、それまでは利便性を優先して「パスワードのみ*1」としていましたが、この報道を受けて、各証券会社でデバイス認証やGoogle AuthenticatorなどのTOTP(時間ベースのワンタイムパスワード)認証などの二要素認証を導入しました。詳細な経緯や、証券会社ごとの対策は当時執筆した記事にて詳しくまとめています。
大切な資産を万が一にも毀損させないため、当時としてはできうる限りの対策を施しました。しかし、デバイス認証やTOTP認証にも限界があります。これらは、ユーザーがコードを目視して入力する仕組みのため、偽サイトに誘導されて入力してしまうと突破される可能性が残るためです。この点は、結局のところ、フィッシング耐性という観点では、パスワードと同様の弱点を抱えています。
何より、残高の確認程度のログインでいちいち二要素認証を求められるのは正直いって面倒です。また、SBI証券で設定したFIDO認証も、口座ごとに認証用のデバイスを用意する必要*2があり、僕の口座は自身のスマホ、子どもの口座はiPadといったように、管理が煩雑になってしまいました。
総じて、セキュリティは一定程度向上したものの完璧とまではいえず、他方で利便性は大きく低下した結果となりました。僕は基本ほったらかしのインデックス投資家のためまだ我慢できますが、毎日頻繁にログインが必要な方にとっては、ストレスが大きいだろうと思料します。
新たにパスキー認証を導入。パスワードマネージャーで管理することで利便性も大幅に向上
こうした背景の中で、各証券会社が新たに導入しつつあるのが「パスキー認証(FIDO2ベース)」です。パスキーそのものについては多くの解説記事があることから詳細な説明は割愛しますが、抑えておくべきは次の点です。
- 秘密鍵方式のため、アクセス先のサイトが正規のものかどうかを自動でチェックしてくれる*3
- ユーザーが何かを「入力」する必要がほぼない
つまり、パスワードやTOTPのような「偽サイトに入力してしまう」タイプのリスクを、仕組みそのもので断ち切れる優れた認証方式といえます。
そして、パスキー(認証キー)はパスワードマネージャーを利用することでクラウド同期させることが可能です。これにより、端末ごとに鍵が固定されてしまう(ローカル保存)従来のFIDO認証の弱点が完全に解消され、どの端末でも簡単にパスキーでログインできるようになります。
パスワードマネージャーは、GoogleやApple、Microsoftが提供するものも候補になります。しかし、僕はAndroidスマホ、iPad、Windows PCと複数の異なるプラットフォームを跨いで証券口座にアクセスすることがあるため、クロスプラットフォームでも特に意識することなく運用でき、従前からパスワードマネージャーとして利用してきたBitwardenにパスキーの生成・管理も一貫して担ってもらうことにしました。
証券各社でパスキー認証を設定した
早速、口座を保有しているSBI証券、楽天証券、マネックス証券の3社でパスキー登録を済ませました。いずれもトップページやセキュリティ特集のページにパスキーによるログインを推奨するバナーがあるため、リンク先から案内に従って操作しつつ、パスキーの保存先にBitwardenを指定すれば良いだけです。設定は極めて容易でした。
- SBI証券
トップページの「セキュリティ設定」→「パスキー認証」から登録可能です。
- 楽天証券
トップページ上部の「セキュリティ設定」→「ログイン」から登録可能です。
- マネックス証券
トップページ右側の「セキュリティ」「確認」→「パスキー登録状況」から登録可能です。
三菱UFJ eスマート証券(旧・auカブコム証券)では、パスキー認証の導入は2026年春頃を予定している旨のアナウンスがされています。なお、僕はセキュリティ対策の観点からも不要な証券口座の整理を進めており、未使用状態となっていた同証券はすでに解約済みです。
パスキーを導入した結果、ユーザー目線では旧来のID・パスワード方式と同様の使い勝手に戻りました。ログイン画面にアクセスした際に、BitwardenからIDを選択するだけで良く、追加のコード入力といった煩雑な二要素認証の入力は不要です。
にも関わらず、ログインの裏ではパスキーがログイン先サイトの正当性を自動で検証・担保してくれることから、ユーザーが意識せずとも認証の堅牢性は大幅に向上しています。パスキーによって「セキュリティ」と「利便性」の両取りを実現することができ、「セキュリティを高めるほど操作が煩雑になる」というこれまでのジレンマも解消してくれました。
各種サービスのログインにもパスキー認証を採用
パスキー認証の利便性に気を良くして、証券会社以外でも対応状況を確認しました。すると、Amazon、Yahoo! JAPAN、メルカリ、Google、そしてこのブログの執筆にも用いているはてなアカウントなどで設定可能であることが判明。証券会社での実績を踏まえ、可能な限り積極的にパスキーを登録しました。
ただし、現状ほとんどのサービスが「パスワード認証のほかにパスキー認証も可能にする」併用方式で、パスワード認証自体を無効化できるわけではありません。パスワード認証が残るということは情報漏洩やフィッシングによる不正アクセスのリスクも一定程度は残存することになります。
証券口座でも、楽天証券やマネックス証券ではパスワード認証を無効化できる一方、SBI証券はパスキー・パスワードの併存です。この点は「パスキー認証の設定後はパスワード認証は利用不可」としてもらったほうがより安全なため、今後の改善を期待したいところです。
また、パスワードマネージャー(Bitwarden)には従来のパスワードに加えてパスキーも保存しておくことになったため、パスワードマネージャー自体のセキュリティ確保の重要性が一段と高くなりました。TOTPなどの二要素認証を設定しておくとともに、マスターパスワードは紙のメモに物理保管するなど、この点の意識もより強く持っていきたいと思います。
