楽天証券のパスキー認証導入で証券口座を守る！フィッシング攻撃対策の最新動向

オンライン証券口座への不正アクセス被害が深刻化しています。2025年1月から9月までの累計で1万5873件という驚くべき数字が金融庁から発表されました。そんな中、楽天証券が10月26日からパスキー認証を全面導入すると発表し、証券業界のセキュリティ対策が大きく進化しようとしています。

証券口座狙いのサイバー攻撃が急増している理由

なぜこれほどまでに証券口座への攻撃が増えているのでしょうか。現役のフォレンジックアナリストとして多くの事案を調査してきた経験から言えば、証券口座は攻撃者にとって「宝の山」だからです。

実際に調査した事例では、ある個人投資家のアカウントが乗っ取られ、わずか数時間で数百万円分の株式が不正に売買されていました。攻撃者は巧妙にフィッシングメールを使い、正規の証券会社を装った偽サイトに誘導。従来のID・パスワード認証では、こうした手口を完全に防ぐことは困難でした。

日本証券業協会が2025年4月に多要素認証の必須化を発表した際、多くの証券会社がワンタイムパスワード（OTP）を採用しました。確かに一時的には攻撃件数が減少しましたが、攻撃者もすぐに対応してきたのです。

7月までには、OTPにも対応した高度なフィッシングサイトが続々と確認されました。これらの偽サイトは本物と見分けがつかないほど精巧で、OTPの入力画面まで完璧に再現していたのです。

そこで注目されているのがパスキー認証です。この技術は従来の認証方式とは根本的に仕組みが異なります。

パスキー認証では、公開鍵暗号を使用し、秘密鍵は利用者のスマートフォンなどの端末に安全に保存されます。認証時は、生体認証やPINの結果に基づき、秘密鍵でデジタル署名を作成してサービス側に送信します。

最も重要なのは、パスワードのような秘密情報を一切やり取りしない点です。これにより、フィッシングサイトに誘導されても、攻撃者は認証に必要な情報を盗み取ることができません。

セキュリティが向上するだけでなく、利便性も大幅に改善されます：

楽天証券は以前からセキュリティ強化に積極的でした。他社が数字のみのOTPを使う中、絵文字を使ったOTPを採用するなど、常に一歩先を行く対策を実施してきました。

2025年5月にはリスクベース認証を全チャネルに適用し、不審なアクセスを自動的に検知する仕組みも導入しています。こうした積み重ねがあってこそ、パスキー認証の早期導入が実現できたのです。

証券口座のセキュリティ強化を待つ間も、私たちにできる対策があります。フォレンジック調査で見えてきた被害を防ぐポイントをお伝えします。

まず基本となるのが、信頼性の高いアンチウイルスソフトの導入です。フィッシングサイトへのアクセスを事前にブロックし、マルウェア感染を防ぐことができます。

公衆Wi-Fiでの取引は絶対に避けるべきです。どうしても外出先で取引が必要な場合は、信頼できるVPN を使用して通信を暗号化しましょう。

中小企業の経営者の方には、定期的なWebサイト脆弱性診断サービスをおすすめします。攻撃者は常に新しい手口を開発しており、定期的なチェックが欠かせません。

SBI証券も10月末までにはパスキー認証の導入を予定しており、業界全体でセキュリティレベルの底上げが進んでいます。しかし、攻撃者も進化し続けているため、私たち利用者側も常に最新の対策を心がける必要があります。

パスキー認証の普及により、証券口座への不正アクセスは大幅に減少すると予想されます。しかし、完璧なセキュリティシステムは存在しません。多層防御の考え方で、複数の対策を組み合わせることが重要です。

楽天証券のパスキー認証導入は、証券業界のセキュリティ向上に大きな一歩です。しかし、セキュリティは「これで安心」という終点はありません。常に新しい脅威に対応していく必要があります。

個人投資家として、また企業として、適切なセキュリティ対策を継続的に実施することで、安心して投資活動に集中できる環境を作り上げていきましょう。