IDとパスワードの代わりに「パスキー認証」を導入する大手証券会社が相次いでいる。一体なぜなのか。ITジャーナリストの鈴木朋子さんは「サイバー攻撃の手口が巧妙化し、従来のIDとパスワードではセキュリティを担保することが難しくなっている」という――。
■不正アクセス被害は3カ月で954億円
2025年10月、大手証券会社の楽天証券とSBI証券、野村證券、マネックス証券が立て続けに「パスキー認証」を導入した。三菱UFJモルガン・スタンレー証券も2026年3月末までにパスキー認証を段階的に導入する。証券口座の不正取引に歯止めをかけるための対応だ。
金融庁は2025年4月、ネット証券口座を狙った不正アクセス・不正取引の被害が急増していることを発表した。実在する証券会社のWebサイトを装ったフィッシングサイトにより、ログインIDやパスワードを窃取される。その情報により、犯罪グループは顧客になりすましてログインし、株式や投資信託を勝手に売却するなどの操作を行う。
被害は2025年2月から4月16日までの約3カ月間で計1454件、被害総額は売却額と買付額をあわせて約954億円に上っている。
被害が拡大している背景には、新NISA(少額投資非課税制度)の開始に伴い、新たに投資を始める個人投資家の増加も一因として挙げられる。犯人グループは証券口座を開設して間もない人に対し、大手証券会社を名乗り、「登録口座確認のお願い」などのメールを送り付け、フィッシングサイトにアクセスさせる。
■パスワードが「唯一の命綱」のはずが…
IDやパスワードは、上記の「フィッシング詐欺」のほか、「マルウェア感染」(パソコンのウイルス感染)、「リスト型攻撃」(他サービスから漏えいしたIDとパスワードの漏えい)から流出する。リスト型攻撃では、匿名性が高いネット空間「ダークウェブ」で売買されている証券口座のIDとパスワードが悪用されることもある。
サイバー攻撃の手口が巧妙化している現代において、IDとパスワードだけでセキュリティを担保することは難しい。特にIDにメールアドレスや携帯電話番号を使うサービスの場合、パスワードが唯一の命綱になってしまう。
しかし、個人が管理すべきパスワードの数は多く、すべてを覚えておくことは現実的ではない。ログインするたびにパスワードを1文字ずつ入力する手間も負担だ。そこで、人々は安易に思い出せるパスワードや打ち込みやすいパスワードを選択してしまう。
