ワンタイムパスワード原則禁止へ！証券業界が直面するフィッシング詐欺の現実と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年7月15日、日本証券業協会（日証協）が発表したガイドライン改正案が、金融業界に大きな衝撃を与えています。なんと、これまで安全とされてきたワンタイムパスワードが原則禁止になるというのです。

私がCSIRT（Computer Security Incident Response Team）で対応してきた事案を振り返ると、この動きは遅すぎるくらいだったかもしれません。実際に、昨年だけでも複数の証券口座乗っ取り事件を調査しましたが、その巧妙さには正直驚かされました。

なぜワンタイムパスワードでは不十分なのか
1. リアルタイムフィッシングの恐ろしさ
新たに求められる認証技術とは
1. パスキー（FIDO認証）
2. PKIベースの認証
個人でできるフィッシング対策
1. 基本的な対策
2. VPNの活用
企業が直面するWebセキュリティ課題
今後の展望と対策
1. 企業が今すぐ取るべき行動
まとめ：セキュリティは進化し続ける
一次情報または関連リンク

なぜワンタイムパスワードでは不十分なのか

従来のワンタイムパスワードが破られる手口として「リアルタイムフィッシング」があります。これは攻撃者がリアルタイムでフィッシングサイトを操作し、被害者が入力したID・パスワード・ワンタイムパスワードをその場で本物のサイトに入力する手法です。

実際の被害事例をご紹介しましょう。某中小企業の経営者Aさん（50代）のケースです。Aさんは証券会社から届いたと思われるメールのリンクをクリック。そこで普段通りID、パスワード、そして携帯電話に届いたワンタイムパスワードを入力しました。

しかし、それは巧妙に作られたフィッシングサイト。攻撃者はAさんが入力した情報を即座に本物のサイトで使用し、Aさんの口座から300万円を不正送金しました。Aさんがおかしいと気づいた時には、すでに手遅れでした。

リアルタイムフィッシングの恐ろしさ

この攻撃の恐ろしい点は、被害者が「正しい手順」を踏んでいることです。本物のワンタイムパスワードを使っているため、従来のセキュリティ対策では防ぎきれません。

フォレンジック調査の結果、攻撃者は以下のような手法を使っていました：

本物そっくりのフィッシングサイトを短時間で作成
被害者の入力と同時に本物のサイトにアクセス
ワンタイムパスワードの有効時間内に不正操作を完了
証拠隠滅のためフィッシングサイトを即座に削除

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

新たに求められる認証技術とは

日証協が推奨する「フィッシング詐欺に耐性のある多要素認証」とは、具体的にどのようなものでしょうか。

パスキー（FIDO認証）

パスキーは、FIDO Allianceが推進する認証技術です。これは生体認証や物理的なセキュリティキーを使用し、フィッシングサイトでは機能しない仕組みになっています。

なぜフィッシング詐欺に耐性があるのか？それは、パスキーが「どのサイトで使われているか」を厳密にチェックするからです。本物のサイトでしか機能せず、見た目がそっくりなフィッシングサイトでは認証が通りません。

PKIベースの認証

PKI（公開鍵基盤）を使った認証も有効です。これは電子証明書を使用する方法で、なりすましが極めて困難です。

個人でできるフィッシング対策

企業だけでなく、個人レベルでもできる対策があります。実際に被害を防いだ事例もあります。

基本的な対策

メールのリンクを直接クリックしない
URLを必ず確認する（httpsの確認、ドメイン名の確認）
ブックマークから正規サイトにアクセスする
不審なメールを受信した場合は、直接金融機関に確認する

個人向けのアンチウイルスソフトを導入することも重要です。最新のアンチウイルスソフトは、フィッシングサイトを検知して警告を表示する機能を持っています。

VPNの活用

また、インターネット利用時にVPN を使用することで、通信内容を暗号化し、中間者攻撃などからも身を守ることができます。

企業が直面するWebセキュリティ課題

証券会社以外の企業も、この問題を他人事と考えてはいけません。私が担当した事例では、ECサイトを運営する中小企業が同様の手口で顧客情報を盗まれ、信頼失墜と損害賠償で経営危機に陥ったケースもあります。

特に重要なのは、自社のWebサイトが攻撃者にコピーされ、フィッシングサイトとして悪用されるリスクです。定期的なWebサイト脆弱性診断サービスにより、サイトの脆弱性を事前に発見し、対策を講じることが重要です。

今後の展望と対策

金融庁も同日に監督指針の改正案を公表しており、この動きは証券業界全体に広がることは確実です。さらに、他の業界にも波及する可能性が高いでしょう。

企業が今すぐ取るべき行動

現在の認証システムの見直し：ワンタイムパスワードに依存している場合は、代替手段の検討が必要
従業員教育の強化：フィッシング詐欺の手口と対策について定期的な研修を実施
技術的対策の導入：パスキーやPKI認証の段階的な導入を検討
セキュリティ監視の強化：不審なアクセスをリアルタイムで検知する仕組みの構築

まとめ：セキュリティは進化し続ける

今回の日証協ガイドライン改正は、単なる規制強化ではありません。これは、巧妙化するサイバー攻撃に対応するための必要な進化なのです。

フォレンジック調査を通じて多くの被害を見てきた私の経験から言えることは、「完璧なセキュリティは存在しない」ということです。しかし、攻撃者より一歩先を行く対策を継続的に講じることで、リスクを大幅に軽減できます。

個人の方も企業の方も、今回の動きを機に自身のセキュリティ対策を見直してみてください。特に金融関連のサービスを利用される場合は、パスワード管理とフィッシング対策を徹底することをお勧めします。

サイバー攻撃は日々進化しています。私たちも常に学び、対策をアップデートし続ける必要があります。今回のガイドライン改正が、より安全なデジタル社会への第一歩となることを期待しています。