日本証券業協会(日証協)は2025年7月15日、「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案を公表した。相次ぐ証券口座乗っ取り被害を受け、「フィッシングに耐性のある多要素認証」を必須とする項目などを新たに盛り込んだ。
現状、多くの証券会社が採用する一般的なワンタイムパスワードを組み合わせる多要素認証は、攻撃者がID、パスワードと同時にワンタイムパスワードも窃取して認証を突破する「リアルタイムフィッシング」という手口で破られるリスクがある。そのため、今回の案がそのまま成立すれば原則的に対策として認められなくなり、より強固な仕組みの導入が求められる。
同日には金融庁も「金融商品取引業者等向けの総合的な監督指針」の一部改正案を公表した。日証協と同じく、証券口座への不正アクセス被害を受けての動きだ。指針の改正案は日証協のガイドラインを踏まえた適切なセキュリティー対策を講じることを求めており、日証協のガイドラインは一定程度の強制力を持つことになりそうだ。
(中略)
一般的なワンタイムパスワードを使う多要素認証ではこの項目を満たせない可能性が高い。リアルタイムフィッシングで破られる恐れがあるからだ。フィッシングに耐性のある多要素認証の例には、認証方式の国際標準化団体であるFIDO Allianceが推進する「パスキー」や、PKI(公開鍵基盤)をベースとした認証を挙げた。
(後略)
引用元: ・日本証券業協会「フィッシングに耐性のある多要素認証」必須化へ パスキーやPKIなど [897196411]
fishingじゃなかったりする
同じ絵柄で呼称が複数あるのがワギャンランドみたいで腹立ってくる
スマホと紐付ければ認証なしで出来るのでは?誰か作ってよ
コメント