SBI 証券がパスキー認証に対応したので yubikey を使用した FIDO2 認証を設定しました。 yubikey や FIDO2 認証の詳細は google や chatgpt 先生あたりに聞いてもらうとわかりやすく教えてもらえます。
今回は私が個人的に行っているセキュリティ対策をまとめておきます。
証券口座乗っ取り事件について
今年 2025 年は年明けから各証券会社の口座が不正アクセスにより乗っ取られるという大きな事件が発生しています。
主な原因はフィッシングサイト等で不正に取得したログイン ID やパスワードを使われたという見解です。 証券会社のサーバー自体がハッキングされたわけではないので、証券会社としても不正な取り引きかどうか判断が難しいとのことらしいです。 まぁ、詳しくは検証中で真の原因が判明するのは時間が掛りそうです。
不正ログイン後の手口は巧妙化しているようです。 主な手口として、犯人側は特定の会社の株を購入 -> 不正ログインした口座の保有資産を売却 -> 不正ログインした口座から自分達が買っている株を購入する -> 株価が上がった所で自分達の保有分を売却する。 という手順のようです。 全部が全部、このような手順ではないと思いますが、自分達の口座へ現金を振り込むより特定されにくい巧妙な方法だと思います。
不正取引きが確認された証券会社も名立たるネット証券や対面証券会社の口座がやられています。 調べれば簡単に一覧が出て来ると思います。 まぁ、投資をやっていれば誰もが知っている証券会社だらけですね。
幸い、私は被害を受けていないですが、被害者に対しては非常に気の毒だと思います。
セキュリティ対策について
上記の事件に対して、証券会社側の被害補償はかなり消極的なものとなっています。 理由としては証券会社側のシステムに過失がなく、顧客側が管理するログイン ID とパスワードが顧客の過失により流出しているからという言い分です。 そのため、特に手数料の安いネット証券では半額補償が基本となっています。 対面証券や一部のネット証券では全額補償しているところもあります。
ここから理解しなければいけないことはどこまで行っても投資は自己責任ということです。 これにはログイン ID やパスワード、延いてはログインに使用する PC スマホなどのデバイス管理も含みます。 さらに言うと、メールの管理含めて全て自己責任ということです。
個人的なセキュリティ対策
私が主に行っているセキュリティ対策としては以下のものがあります。 今回、SBI 証券がパスキー認証に対応したので yubikey を利用したハードウェアキーを登録しています。 個人的に Windows Hello や icloud keychain でも十分だと思いますが、クラウド同期するのがどうしても違和感あるので yubikey で管理するようにしています。 普段使いの PC として linux を使っているのも理由の一つですが。
- パスキー認証設定
- ログイン ID、ログイン Pass、取引 Pass を使い回さない
- デバイス認証を設定
- ログイン時、取り引き時に通知メールが届くように設定
- メールの URL を直接踏まない <- 基本的に html メールも使用しない
という感じですかね。
全部重要だと思っていますが、昔から気を使っているのが、5 ですね。 特に html メールというのはフィッシングサイトへ誘導するのに非常に都合が良くです。 画像などを使い簡単にアクセス先の URL を隠すことができるからです。 メールに関しては個人用でも会社用でも常にテキストメール表示形式にしています。
また、ログイン ID や各パスワードは証券会社専用のものを使用して、取引パスワードに関しては完全に記憶しています。 ログイン ID やログインパスワードはパスワードマネージャに記憶させていますが、取引パスワードに関しては自分の記憶に頼っています。 覚えるまでが大変ですが、覚えてしまえば大したことないです。
まぁ、ここまでやっておけば十分じゃないかなと思います。
おわり
最終的に何が言いたいかと言うと、SBI 証券でパスキー認証が導入されたので SBI 証券を使っている人は設定しておきましょう。 パスキー認証を設定して、普段のログインをパスキーで行うだけで、セキュリティ意識が随分と変わってくるはずです。
設定方法も SBI 証券のドキュメントに詳しく記載されているので特に迷うことはないと思います。
最終的に自分の資産を真剣に守れるのは自分しかいないので、可能な限りのセキュリティは導入しましょう。
