日経オンラインの記事の中に楽天証券の役員(セキュリティ対策の責任を持つ副社長)にインタビューをしている記事があったのですが、その中に驚くことが書かれていました。あれだけ騒がれていた証券会社への不正ログインおよび不正取引に依る被害ですが、楽天証券は5月上旬以降は被害がゼロになっているということです。
絵文字を使った多要素認証
楽天証券はIDとパスワードでログインをしたあとに、絵文字認証という独特の仕組みで多要素認証をしています。この絵文字認証というのは、こちらの絵文字の一覧から2つをメールで送られてきた情報に従って選んで認証するという方法です。
この仕組みを最初に見たときは、なんだか可愛らしい絵文字が並んでいて、本当にこんな仕組みで効果があるのか?と疑わしく感じました。しかし、メールやSMSでワンタイムパスワードが送られてくる一般的な方式よりもこちらのほうがらあるタイムでのフィッシング詐欺に強いと楽天証券では主張しています。
なぜ、強いかと言えば、上記の画面に出てくる絵文字の一覧は毎回同じではなく、もっとたくさんの絵文字の候補からランダムに選ばれて表示しているためです。
リアルタイムのフィッシング詐欺をしようとしている犯人は認証画面に出す上記の絵文字の一覧の組み合わせがわからないので表示させることができません。また、絵文字であれば短時間に人に伝えることが難しいという特徴を持っています。
リスクベース認証と多要素認証の必須化
また、楽天証券ではリスクベース認証も順次取り入れてきました。リスクベース認証は普段利用者が使っていない環境からのアクセスがあった場合は強制的に電話を使った追加認証をする仕組みです。
楽天証券では下記のチャネルごとに3月23日から5月2日にかけて順次リスクベース認証を取り入れていきました。
- PCウェブ
- マーケットスピード
- マーケットスピードII
- スマホウェブ
- iSPEED
- iGrow
さらに先ほどの絵文字による多要素認証を6月1日から全チャネルで必須化しています。
フィッシングサイトを1時間以内に削除
これも、どうやって実現しているのかが分からなかったのですが、フィッシングメールを検知したあと1時間以内にフィッシングサイトを削除する仕組みを複数整えているということです。フィッシングサイトのウェブサイトは海外など分からない場所にあるので、サイトデータを消すのではなく、ドメインやURLにアクセスできないような何かをするのではないか?と思ったのですが、仕組みはわかりませんでした。
パスキーの導入
秋にはスマホの指紋認証や顔認証でログインできるパスキーを導入することを発表しています。これが導入されれば、利用者は今の多要素認証よりも簡単にログインができるようになるので、使いやすくなると思います。
ただ、セキュリティ的にはパスキーさえ導入すれば安全ということはないので、今後も複数の対策を多重化して実装し不正なログインを防ぐ取り組みをしていくことになるのでしょう。
コメント