UnsplashのGlen Carrieが撮影した写真
●この記事のポイント
・楽天証券で多要素認証を突破する「リアルタイム・フィッシング詐欺」が発生。ワンタイムパスワードを中継し、本人になりすます新型手口が浮上。
・同様のリスクはSBI証券など他社にも及ぶ可能性。対策として楽天証券は10月26日からパスキー認証を導入し、フィッシング不能化を図る。
・専門家は「入力型認証からの脱却」「リスクベース認証」「UX設計の教育化」を提唱。セキュリティは進化を続ける“文化”と位置付ける。
「ワンタイムパスワードも突破された」――。10月、楽天証券の一部顧客がフィッシング詐欺により不正送金の被害を受けた。同行は「多要素認証を採用していたが、外部サイトで入力された情報を悪用された」と発表。従来“最後の砦”とされてきた多要素認証が破られたことで、金融・IT業界に衝撃が走った。
背景にあるのは、国内ではまだ珍しい「リアルタイム・フィッシング詐欺」だ。単なる偽サイト誘導ではなく、ユーザーの入力操作をリアルタイムに中継して本物のサイトへアクセスする――。攻撃が進化した結果、従来の防御策は“安全神話”を失いつつある。
本稿では事件の構図を読み解きつつ、楽天証券が26日から導入予定の「パスキー認証」がなぜ“詐欺不能”といわれるのか、SBI証券をはじめとする業界動向を交えて検証する。
●目次
- リアルタイム・フィッシング詐欺とは何か
- 破られた“多要素認証”の限界
- ネット証券業界への波紋──SBI証券の対応は
- 楽天証券の次の一手──パスキー認証導入の意味
- それでも導入が遅れた理由──金融業界特有の壁
- AI時代のフィッシングは“社会設計”の問題へ
リアルタイム・フィッシング詐欺とは何か
楽天証券は10月上旬に「第三者による不正ログインが確認された」と公表した。被害者は偽サイトでIDやパスワード、ワンタイムパスワード(OTP)を入力。攻撃者はその情報をリアルタイムで正規の楽天証券サイトに転送し、ほぼ同時に本人になりすましてログインした。
同社によると「公式サイトを装ったフィッシングページが存在し、入力情報を中継される形で不正アクセスが行われた可能性がある」と説明している。被害額や件数は公表されていないが、国内の主要ネット証券で初めて多要素認証を突破された事例となった。
この「リアルタイム型」は、従来の「後日利用型」と根本的に異なる。従来のフィッシングは盗んだ情報を後で使うため、ワンタイムパスワード(30秒〜1分の有効期限)では防げた。しかし、リアルタイム型では入力直後に転送されるため、有効期限内にログインが完了してしまう。
つまり、「本人の操作をそのまま複製する攻撃」なのだ。ITジャーナリストの小平貴裕氏は次のように指摘する。
「この手口はすでに欧州では一般化しており、近年は自動化ツールによって大規模化しています。国内でも“人が入力する限り防げない”段階に来ています」
破られた“多要素認証”の限界
楽天証券の多要素認証は「ID・パスワード+ワンタイムパスワード」だ。一見すると堅牢だが、人間が介在する限り“隙”が生じる。
「例えば、ユーザーが偽サイトでIDを入力 → 攻撃者が即座に本物のログイン画面へ転送 → 偽サイト上で『ワンタイムパスワード入力を求める』 → 入力された瞬間に攻撃者が本物に送信――という流れで、システム的には本人操作と見分けがつきません。結果、サーバー側では『正規ユーザーが正規デバイスから正しい認証情報でアクセスしている』と認識してしまうわけです。つまり、『多要素』ではあっても『多経路』ではないという点が盲点だったといえます」
サーバー側での真正性確認が「データ入力ベース」である以上、通信が中継されれば突破されてしまうのだ。
ネット証券業界への波紋──SBI証券の対応は
ネット証券最大手のSBI証券は、この事件を受けて10月にコメントを発表。
「当社ではワンタイムパスワードのほか、生体認証アプリやパスワードレスログインを順次導入中であり、同様の被害は確認されていない」
「ただし、フィッシング攻撃の高度化が進んでおり、ユーザー教育とシステム更新を継続的に行うことが不可欠」
SBI証券はすでに生体認証を活用したアプリログインを展開しているが、パスキー認証(FIDO2対応)については「2025年秋導入を予定」としており、詳細な時期は未定だ。導入には既存勘定系システムとの統合検証や、機種変更時の認証引き継ぎ設計などが必要で、想定以上に時間を要しているとみられる。
楽天証券の次の一手──パスキー認証導入の意味
楽天証券は今回の事件を受け、10月26日からパスキー認証を導入する。同社は「お客様がフィッシングサイトに誤ってアクセスしても、パスキーではログインできないため、安全性が大きく向上する」と説明する。
パスキー認証は、FIDO2に基づく「パスワードレス認証」。生体認証などを用い、端末内部で生成された秘密鍵をサーバーと照合する。秘密鍵は端末から出ず、サーバーには公開鍵のみ保存されるため、仮に偽サイトにアクセスしても秘密情報は送信されない。
さらに、端末は認証対象のドメイン(URL)を自動検証する。つまり、攻撃者が似たドメインを用意しても、署名認証が成立しない。
これにより、フィッシング詐欺の“原理的防止”が可能となる。
日本ネットワークセキュリティ協会(JNSA)の専門委員はこう語る。
「パスキーは“パスワードを入力しない”だけでなく、“入力する余地をなくす”技術です。ユーザー教育では防げない領域を、構造的に封じる仕組みといえます」
それでも導入が遅れた理由──金融業界特有の壁
パスキー認証はすでにアップル、グーグル、マイクロソフトが標準採用しているが、金融業界での導入は遅れている。その理由は主に2つだ。
・既存システムとの統合の難しさ
証券・銀行の勘定系システムは法的に厳格な承認・検証を経て運用されており、新しい認証方式を組み込むには全体の再検証が必要。
セキュリティだけでなく、金融庁ガイドライン(FISC安全対策基準)への適合も求められる。単純なSDK実装では済まない。
・ユーザー体験(UX)とサポート負荷
パスキーは端末固有情報を使うため、スマホの機種変更時や複数端末利用時に「どのデバイスが認証可能か」を管理する必要がある。
高齢ユーザー比率の高い証券業界では、サポートセンター対応が急増する懸念もあり、慎重な導入判断を迫られていた。
SBI証券やauカブコム証券が2025年秋導入を予定しているのも、こうした検証や移行準備のためだ。
今回の事件は、単なるフィッシング被害ではない。多要素認証という“技術的安全神話”が崩れた瞬間だった。
セキュリティ研究者の徳丸浩氏(EGセキュアソリューションズ)は次のように警鐘を鳴らす。
「OTPや多要素認証が“万能”だと思い込むのが一番危険。重要なのは、“人間が操作する限り突破される可能性がある”という前提で設計することです」
では、企業は何を学ぶべきか。IT、セキュリティの専門家たちの指摘を踏まえると、次の3点に集約される。
1.入力型認証から脱却すること
ID・パスワード・OTPなど“入力を伴う認証”は、社会工学的攻撃に弱い。物理的・生体的・暗号署名型(パスキー)のように、入力不要の構造が今後の主流となる。
2.アクセスリスクをリアルタイム評価すること
IPアドレス・デバイス証明書・行動パターンを基にアクセスリスクを算出する「リスクベース認証」の導入が有効。異常値を検知した場合のみ追加認証を求める仕組みが望ましい。
3.教育と設計を両輪で進めること
ユーザー教育だけでは限界があるが、「UIそのものを教育的にする」設計でリスクは減らせる。たとえば、公式サイトのドメイン表示を常に強調したり、「公式アプリのみで取引可能」と設計すれば、誤誘導を防げる。
AI時代のフィッシングは“社会設計”の問題へ
近年、生成AIによるフィッシングメールや音声詐欺(ボイスフィッシング)が急増している。実際、攻撃側はAIで本人の声や話し方を再現し、「サポートセンターを装った電話」でパスコード入力を誘導する事例も報告されている。
サイバー防御の最前線では、「AI対AI」の攻防がすでに始まっている。企業に求められるのは、個々の技術導入だけではなく、「どうすれば人がだまされない社会を設計できるか」という視点だ。
UXデザイン、教育、システムの三位一体でなければ、詐欺は進化のスピードで上回ってくる。
楽天証券事件は、「安全設計の終わりなき更新」を突きつけた。多要素認証は万能ではなく、パスキーもまた新たな挑戦の始まりにすぎない。攻撃者がリアルタイムに行動する時代、企業もリアルタイムに防御を進化させるしかない。セキュリティとは「完成させる技術」ではなく、「進化し続ける文化」である。
“入力しない未来”に向けて、いま日本のネット証券とネット企業がその文化をどう築けるか――。楽天証券事件は、その試金石となった。
(文=BUSINESS JOURNAL編集部)
