証券口座を狙う最新サイバー攻撃とMFA必須化の波
パスキー(FIDO認証)が切り拓く「フィッシングされない」未来
株式会社インターナショナルシステムリサーチ
2025年5月29日
これまで、オンラインバンキングの不正送金やECサイトでのクレジットカード詐欺といったサイバー犯罪は以前から問題視されてきました。しかし最近では、証券口座が乗っ取られ、株式が勝手に売買されるという新たな被害が急増しています。
NISAやiDeCoの普及により、証券口座を持つ個人が増える一方で、オンラインバンキングに比べてセキュリティ対策が後手に回っていた証券会社も多く、今やサイバー犯罪者たちの格好の標的となっています。その手口も日々巧妙さを増し、従来の認証手段だけでは対応が難しくなってきています。
なぜこのような被害が起きてしまうのでしょうか?本ブログでは、最新の攻撃動向を見つつ、今後ますます重要性を増すと見られる多要素認証(MFA)、特にフィッシング耐性が高いパスキー認証(FIDO認証)に焦点を当て、MFAがBtoCの枠を超え、BtoBの領域にも波及しつつある認証要件の変化と、企業が今すぐ取り組むべき具体策について解説します。
- 証券口座への不正アクセスと不正取引の急増
- MFA必須化も無力?リアルタイムフィッシングの脅威
- フィッシングに強い次世代の認証方式への移行準備
- 今こそ始めるべきパスワードレス化への準備と支援体制
- まとめ:MFAは「選択肢」ではなく「前提」へ
証券口座への不正アクセスと不正取引の急増
2025年に入ってから、国内の証券口座を狙ったサイバー攻撃が急増しています。
金融庁は5月頭にインターネット取引サービスへの不正アクセスと不正取引に関する調査結果を発表しました。この発表によると、4ヶ月の間に不正取引件数は39件から2746件、不正取引総額は約1.5億円から約2789億円まで膨れ上がり、証券口座に対する不正アクセスと不正取引の被害が急増していることが分かります。
こうした状況を受け、業界全体でセキュリティ水準を引き上げるべく、複数の国内証券会社はインターネット取引のログイン時にMFAの設定を必須化する動きが加速しています。
日本証券業協会の発表によると、2025年5月22日時点で、ログイン時に多要素認証の設定を義務化した証券会社は、すでに75社に上っています。
金融庁のデータを基にISRが作成
MFA必須化も無力?リアルタイムフィッシングの脅威
MFAの必須化は、金融機関のセキュリティを底上げする重要な取り組みです。しかし、その一方で、サイバー攻撃も進化しており、従来のMFAをすり抜ける巧妙な手口が現れています。
従来のフィッシング詐欺といえば、ユーザーを偽のログインページに誘導し、IDやパスワードを入力させて盗み取る手口が一般的でした。これだけでも十分に脅威ですが、近年登場した「リアルタイムフィッシング」は、その一歩先を行く攻撃です。
リアルタイムフィッシングでは、ユーザーが偽サイトに入力した情報が即座に攻撃者の手に渡り、リアルタイムで正規のサイトに転送・使用されるため、ワンタイムパスワード(OTP)やSMSコードなどを使っていても防ぎきれないケースがあります。
つまり、ユーザーが「正しくログイン操作をしている最中」に、攻撃者も「その認証情報を使って並行してログイン」してしまうのです。
攻撃者の目的は金銭であり、リアルタイムフィッシング攻撃用のツールキットが出回ってしまっていることから、今後は個人情報の窃取からの脅迫や、製造業の知的財産窃取などのために、企業のクラウドサービスがリアルタイムフィッシングの標的になることが予想されます。
こうした手口は、フィッシング対策として多くの企業が導入してきたパスワードにOTPを組み合わせる従来の認証モデルが通用しないことを意味します。さらにAIを活用したフィッシングツールの普及により、偽サイトの見た目や動作は本物と見分けがつかないほど精密になっており、一般のユーザーが気づくのは困難です。
このような状況では、「ユーザーに認証情報を入力させない」「そもそも偽サイトに情報を送らせない」という根本的な対策が求められます。
画像提供:FNNプライムオンライン
フィッシングに強い次世代の認証方式への移行準備
前述の課題を根本から解決する方法として注目されているのが、公開鍵暗号方式に基づいた認証方式です。中でも、企業内端末の認証などに広く用いられてきた「証明書認証」や、最新の多要素認証である「パスキー(FIDO)認証」といった仕組みは、いずれもこの方式に基づいており、フィッシングの耐性の高さと利便性を両立しており、注目が高まりつつあります。
公開鍵暗号方式に基づく「パスキー(FIDO)認証」の特徴は、認証情報(秘密鍵)をサーバーに送らず、ユーザーの端末に安全に保管する点にあります。認証は、サーバーが提示するチャレンジに秘密鍵で署名を行い、その署名をサーバーが公開鍵で確認する仕組みです。
この仕組みであれば、仮にユーザーがフィッシングサイトに誘導されたとしても、攻撃者は秘密鍵を持っていないため、正しい署名ができず、正規のサーバーに対して認証は通りません。
さらに、証明書認証もパスキー認証(FIDO認証)のいずれも、認証プロセスにおいてドメイン情報などを用いてアクセス先が正規のサイトであるかを確認する仕組みを備えているため、フィッシングサイトに対して認証してしまうことはありません。
すでに、SBI証券、楽天証券、松井証券などの大手証券会社では、FIDO認証の導入や導入検討が進んでおり、顧客のセキュリティ強化とユーザーエクスペリエンス向上の両立を目指しています。
今こそ始めるべきパスワードレス化への準備と支援体制
CloudGate証明書は最近ではほとんどの端末に搭載されている、秘密鍵や生体情報などの秘匿データを保護・保存するための専用チップ(SE、TPM)で証明書を発行するため、より安全性が確保されます。
ここまで見てきたように、証券会社によるMFA必須化やパスキー(FIDO)認証導入の動きは、巧妙化するサイバー攻撃への対抗策として加速しています。こうした変化は、BtoCにとどまらず、今後はBtoB市場にも大きく波及していくと考えられます。
特に昨今の攻撃傾向として、標的となる大企業や政府関連機関へ直接攻撃を仕掛けるのではなく、セキュリティ対策の甘いサプライチェーン上の取引先や外部委託先を踏み台とする手法が増えています。仮に大企業がパスキー(FIDO)認証のような高度な認証技術を導入していても、ログイン情報を扱う業務委託先やSaaSベンダーが弱い認証手段を使っていれば、そこが侵入口になります。
このため、今後は大企業が取引先に対し、より強固な認証技術を求める動きが加速することが予想されます。
とはいえ、企業において、パスワードのみの認証から、いきなりパスキー認証のような最先端の認証技術へ移行するのは、既存システムとの連携や従業員のリテラシーといった面で難易度が高い場合があります。そのため、現実的かつ段階的な導入プランが重要です。
そこで第一ステップとしておすすめなのが「デバイス証明書」の導入です。公開鍵暗号方式に基づくこの技術はすでに広く普及しており、企業において比較的取り入れやすい選択肢となります。ただし、ソフトウェアベースで秘密鍵を保持する一般的な証明書管理方式では、マルウェアによって端末が侵害された場合、秘密鍵が不正に取得・複製・エクスポートされるリスクがあります。そのため、TPMやセキュアエレメントといったハードウェアに秘密鍵を安全に保管する方式が推奨されます。
弊社が提供する「CloudGate証明書」は、近年ではほとんどの端末に搭載されている、秘密鍵や生体情報などの秘匿データを保護・保存するための専用チップ(SE、TPM)で証明書を発行するため、秘密鍵の漏洩リスクを最小限に抑える高いセキュリティを実現します。
CloudGate証明書の詳細はこちらこのように、まずは証明書ベースの認証を導入し、将来的にパスワードを使わない運用への基盤を整えます。その上でユーザーが実際に「パスワードを使わない」ことを体感できるパスキーのような次世代認証へと段階的に進むことで、フィッシングに強い認証環境を無理なく構築する道筋が見えてくるはずです。
さらに弊社では、パスキー認証の導入を目指す企業様に対し、専門のカスタマーサクセスマネージャーをアサインし、現行の認証システムを把握した上で、段階的にパスキー認証へ移行できるよう、最適な計画立案と導入支援を行っています。
導入事例や個別相談をご希望の方は、お気軽にお問い合わせください。貴社のニーズに合わせた最適な移行プランをご提案いたします。
まとめ:MFAは「選択肢」ではなく「前提」へ
証券会社によるMFA必須化は、すべての企業にとっての近い将来の標準を示す象徴的な動きであり、パスワードだけでログインできる時代はすでに終わりつつあります。 MFAはもはや「セキュリティの高度な選択肢」ではなく「前提条件」へと変わっており、さらに重要なのは、MFAが多要素であることだけではなく、フィッシング耐性を備えていることです。その要件を満たす技術として、証明書やパスキーは有力な選択肢となっています。 企業がサイバー攻撃の被害を防ぎ、顧客や社員の信頼を維持するためには、MFAの導入は戦略的に取り組むべき必須事項です。今こそ、次世代の認証技術への第一歩を踏み出す時です。
