【口座のっとり対策に必須】SBI証券「パスキー」開始【10月25日から】
証券口座の乗っ取り対策として、SBI証券や楽天証券がパスキーを導入しました。
本記事では、パスキー認証の概要から具体的な設定方法、注意点まで詳しく解説します。
各社「パスキー導入」のスケジュール(0:38)
主要証券会社のパスキー導入スケジュールを確認していきます。野村証券が10月18日と最も早く導入を開始し、SBI証券が10月25日、楽天証券が10月26日、マネックス証券が10月31日にそれぞれ導入を開始しました。
この他にも、みずほ証券は今年度中の導入を予定しており、大和証券や松井証券などはすでに導入済みとなっています。利用している証券会社で確認して、早めに導入することをお勧めします。
パスキーとは?(1:43)
パスキーとは、パスワードレス認証やFIDO2認証とも呼ばれる新しい認証方法です。登録された生体情報、もしくはPINコードやパターン認証を使って、ログイン時に本人確認を行います。
従来の証券会社へのログインでは、ユーザーネームやパスワード、認証コード、電話番号、メールアドレスといった多要素認証が必要でした。しかしパスキー認証を使えば、これらの入力が一切不要になります。ログインボタンを押してパスキーを選択すると、指紋認証や顔認証が自動的に行われてすぐにログインできる仕組みです。
特にスマートフォンで顔認証を設定している方であれば、画面に触れながらログインボタンを押してパスキーを選ぶだけで、すぐにログインできます。セキュリティが強固でありながら、利便性も非常に高い認証方式です。
今回パスキー認証が導入された背景には、今年初めから証券会社で頻発したフィッシング詐欺があります。実際に勝手に売買されて資産が失われる事件が多発し、証券会社のセキュリティが弱いのではないかという指摘がありました。これを受けて、証券会社各社がパスキー認証の導入や多要素認証の整備を進めることになりました。
SBI証券の例を見ると、パスキー認証を利用した場合は設定が必要で、顔認証や指紋認証、PINコード、パターン認証で本人確認を行います。パスキー認証が利用できない場合は、従来通りユーザーネームとパスワードを入力し、追加認証が必要になります。
さらに、普段と異なると判別された場合は取引時にリスクベース認証が必要になります。これは設定不要で、SBI証券が独自に判断して普段と異なる動きがあった場合に認証コードを受け取ったり、追加認証が行われる仕組みです。
パスキー認証のメリット(5:25)
利用できる方はパスキー認証を設定することを強くお勧めします。パスキー認証の最大のメリットは、ネットワーク上にユーザーIDやパスワードがネットワーク上に流れない点です。従来の認証方式では、ログイン時にこれらの情報がネットワークを経由するため、通信を傍受されるリスクがありました。
さらに重要なのは、フィッシング詐欺対策として非常に有効である点です。フィッシング詐欺でよくあるパターンとして、偽サイトを作成してユーザーを誘導する手口があります。偽サイトは見た目を本物そっくりに作ることができますが、ドメインは正規のものと必ず異なります。パスキーはこのドメインの整合性をチェックするため、ドメインが一致しないとそもそもパスキーが機能しない仕組みになっています。
普段からパスキー認証を使っていれば、普段とは違う挙動がすぐに分かります。例えば、いつもは自分のPCでログインしていたものを友人のPCや職場のPCなど違った環境でログインしようとする時だけ、リスクベース認証が発動します。これは自分がアクションを起こした時なので理解できますが、通常のログイン時には追加認証は出てきません。
つまり、パスキーがポップアップで出てこない状況は明らかにおかしいということになります。メールで届いたURLからSBI証券のページにアクセスしてログインしようとした時、パスキーが出てこなければ、それは偽サイトである可能性が高いと判断できます。ドメインを確認すれば、正規のものと異なることが分かるはずです。
パスキー認証の設定方法(7:32)
ここからは、SBI証券を例に、パスキー認証の具体的な設定方法を解説します。SBI証券のサイトでは非常に詳しく説明されていますので、それを参考にしながら進めていきましょう。
まず知っておくべきは、ログイン画面が変更されたことです。従来は公式サイトの右上にユーザーネームとパスワードを入力するフォームが表示されていましたが、これが廃止されました。代わりにログインボタンが設置され、それを押すとログイン画面に遷移する形になっています。
ログイン画面では左右に分かれて表示され、パスキーでログインするか、ユーザーネームとパスワードで従来通りログインするかを選択できます。ここで重要なのは、パスキー設定をする前に必ずログインする必要がある点です。まだパスキーを設定していない方が「パスキーでログイン」ボタンを押してもログインできません。まずはユーザーネームとログインパスワードでログインしてください。
画面が変わったことで、ユーザーIDとログインパスワードが自動入力されないケースがあります。Google Chromeを使っている方はパスワードマネージャーを使えば確認できます。sbisec.co.jpというドメインで検索すると、保存されているユーザーネームとパスワードが表示されます。
パスキー設定の前提として、端末にすでにパスキーの準備ができている必要があります。ただし、スマートフォンで指紋認証や顔認証を使っていない人はほとんどいないでしょう。PCでも、PC起動時に生体認証やPINコード、パターン認証を使っている方は、基本的にすでに設定されていると考えて問題ありません。
ログイン後、画面上部のセキュリティ設定に移動します。セキュリティ関連の画面に移ると、パスキー認証が一番上にあります。変更ボタンを押してください。スマートフォンの場合、画面が右側で切れているため、スライドして変更ボタンを見つける必要があります。
パスキーの変更ボタンを押すと、「登録済みのパスキーはございません」という画面が表示されます。ここで重要なのは、取引パスワードの入力が必要になる点です。ログインパスワードではなく取引パスワードなので注意してください。
取引パスワードを入力してパスキーを設定ボタンを押すと、ページが遷移して認証コードが表示されます。この認証コードをコピーしてください。コピーが終わったら、メールボックスを確認してください。長いURLが記載されたメールが届いているはずです。
そのURLをタップすると、パスキー認証の設定画面が開きます。先ほどコピーした認証コードを入力して認証すると、端末に応じた登録画面が表示されます。画面の案内に従って本人認証を行ってください。
Windows PCの場合、Windowsセキュリティが起動し、Google Chromeに登録する形になります。ここで入力するPINコードは、このWindows PCにログインするためのパスワードです。正しいパスワードを入力すると、パスキーが保存されます。端末によっては指紋認証や顔認証を求められる場合もあります。
古い端末でPCでの生体認証を行ったことがない場合は、他のデバイスを使うこともできます。iPhoneやiPad、Androidデバイスなどを使って認証することも可能です。
最後に、パスキーの登録が完了しましたという画面が表示されます。念のため一度ログアウトして、ログインボタンを押してパスキーでログインするボタンを押し、正しく機能しているか確認してください。
パスキー認証設定ができない場合(19:04)
パスキー設定ができない場合、主に2つのケースが考えられます。
1つ目は、セキュリティキーや外部USBの挿入を求められるケースです。これはそもそもそのPCで生体認証のログインをしたことがない、または設定がされていない場合に発生します。デスクトップ機などで指紋認証も顔認証もない場合がありますが、そういった場合でもPINコードの入力によってパスキーを設定できます。
2つ目は、設定画面に行ったのにポップアップ画面が出てこないケースです。これは何かをクリックしてしまって、ポップアップ画面が下に隠れてしまった可能性があります。Windowsの場合、下のタスクバーに見慣れないアイコンが表示されているので、それをタップすると画面が表に出てきます。
パスキー認証の注意点(20:50)
パスキー認証は必須ではありません。従来のユーザーネームとログインパスワードを使ってログインすることも可能です。ただし、パスキー認証をした方が安全性は確実に高まります。フィッシング詐欺でよくある偽サイトで情報を入力してしまうということがそもそもなくなります。パスキーではドメインの整合性もチェックするため、通常のログインはパスキーでされることをお勧めします。
もしパスキーで生体認証が通らない場合でも、従来のユーザーネームとログインパスワードでログインできます。生体認証という言葉から、顔認証や指紋認証がない端末では使えないと思われるかもしれませんが、パスワードやPINコード、パターン認証でもパスキーを使用できます。
パスキーを導入することで、未成年者口座と親御さんの口座など、複数の口座を管理したい方にも便利です。従来の多要素認証では、スマートフォンが1人1台という制約がありましたが、パスキー認証では同じ端末で複数のパスキーを登録できます。その際は保存先を同じにすることをお勧めします。例えばGoogle Chromeにパスキーを登録した場合は、家族のものもGoogle Chromeのパスワードマネージャーに登録してください。
パスキーがあっても、セキュリティ意識を高く保つことが重要です。SMSやメールから来たURLを安易にクリックしない、よく分からないメールから飛ばないといった基本的な対策は今まで通り必要です。最も重要なのはURLの確認です。SBI証券であればsbisec.co.jpがドメインなので、必ず確認してください。
共用端末、家族で使い回している端末、インターネットカフェなどでもログインはできますが、その場合はパスキーは使えません。パスワードを使う形になりますが、その時に端末への保存を選択しないように注意してください。電話で指示されたり、リモートサポート中に今承認してくださいと言われても、その場で承認しないでください。
セキュリティ意識を高めるために、端末のPINコードについても注意が必要です。生体認証を使っている方でも、寝起きの時、冬で指が乾燥している時、マスクをしている時など、生体認証が通らない場合があります。その時に端末のPINコードを入れることになりますが、これが簡単だと意味がなくなってしまいます。
例えば1111といった単純な数字は絶対に避けてください。パスキーで通らなかった場合、端末のPINコードを入れてくださいという画面にフォールバックします。その時に簡単だと、何回も試行されてしまう可能性があります。セキュリティを高めるために、自分だけが知る複雑なPINに設定してください。
まとめ(27:20)
SBI証券をはじめ主要証券会社でパスキー認証の導入が進んでいます。SBI証券はすでに10月25日から、楽天証券は10月26日から登録が開始されています。パスキー認証は必須ではありませんが、セキュリティレベルを大幅に向上させることができます。フィッシング詐欺対策としても非常に有効ですので、ぜひお時間のある時に設定することをお勧めします。
またこちらの動画「【被害の70%が50代以上!】騙された…あなたも狙われている?これを知っていれば投資詐欺を撃退できる3つの方法」では、投資詐欺にあわないための情報をお伝えしていますのでぜひご覧ください。