証券会社側でメールアドレスに届いた確認コードを使う「簡易型の二段階認証」が採用されているが、メールアカウント自体が流出していれば突破されてしまう可能性がある。
さらに、一部証券会社ではWeb版とPC版でログイン条件に差があったり、サブのログインページから二段階認証なしでアクセスできるような設計ミスも報告されている。これはユーザーの責任というより、企業側のセキュリティ設計に問題があったと言わざるを得ない。
【原因3】マルウェア感染経路の拡大
被害に遭った多くのユーザーは「強固なパスワードを設定していた」「二段階認証を使っていた」と口を揃える。それでも突破されるのはなぜか?
仮説として上げられるのは。利用している端末そのものがハッキングされていることだ。
マルウェアの一種「インフォスティーラー」に感染すると、パスワードマネージャーのデータや入力履歴、クリップボードなどの情報が抜き取られる。つまり、「何桁のパスワードでも」「毎月変更しても」、感染していれば意味がない。
かつては「怪しいメールの添付を開かなければ大丈夫」と思われていたが、今では公共Wi-Fiの利用、USB充電器の接続(ジュースジャッキング)、偽のアップデート通知など、感染経路が非常に多様化している。
注意すべきポイントが多すぎる今、個人がすべてを防ぐのは難しい。だからこそ、「端末レベルで守る」対策が必要なのだ。
不正アクセスへの対策法
ここからは、「証券会社側の設計不備がない」という前提で、個人でできる対策をレベル別に紹介したい。すべてを実践できなくても、1つでもやる方がマシである。
最低限やるべきこと(すぐ実行可) 証券口座ごとに専用の強固なパスワードを使い回さず設定(20文字以上、英数記号混在) 二段階認証を必ずオンにする 不要な拡張機能や怪しいソフトをPCにインストールしない 公共Wi-Fiで証券口座にアクセスしない できればやるべきこと 証券口座専用のメールアドレス(GmailよりProtonMail等を推奨)を使う パスワードマネージャー(Bitwardenや1Password)を活用し、コピペログインでキーロガー対策 Windowsアカウントを顔認証(Windows Hello)やPIN認証で保護 VPNを常時使用し、通信の盗聴リスクを低減 本気で資産防衛したい人向け 証券口座専用のノートPCを用意(他の用途には一切使わない) BitLockerでハードディスクを暗号化 YubiKeyなど物理キーによる多要素認証を実装 仮想マシンやLive USBを使ってネット取引専用環境を構築(マルウェア耐性が非常に高い)尚、筆者は一番下以外はすべて実践している。
