証券会社のインターネット口座が相次いで乗っ取られ、株式を不正に売買される被害が急増しています。金融庁によりますと、今年の3月から急増し4月には単月で4,852件の不正アクセス、2,746件の不正取引があり、約1,481億円の不正売却、約1,308億円の不正買付があったそうです。多くはフィッシング詐欺などでIDやパスワードが抜き取られているとして、日本証券業協会は「メールやSMS(ショートメッセージ)などに表示されているリンクを絶対に使わないでください。」と呼びかけています。
5月1日には著名投資家のテスタさんが楽天証券で保有する自身の口座が乗っ取り被害にあったとXに投稿しました。二段階認証を使用していたそうですが、朝に二段階認証の確認メールが来て気付いたそうです。あわてて確認したところ、前日夜に注文した履歴があり発覚したとのことです。二段階認証は当該サービス(この場合は楽天証券)のIDとパスワードに加えて、スマホに届く認証コード、生体認証などの追加の認証を行うものです。テスタさんの場合二段階認証を何らかの方法で突破されてしまったそうです。幸いにも取引所開始前に発覚し、口座をロックしたため金銭的な被害を免れたそうです。SBI証券はIDとパスワードだけでログインが可能なバックアップサイトを5月30日に閉鎖予定でしたが、急遽5月2日に閉鎖しています。このお知らせのページで「デバイス認証」「FIDO認証」の利用を呼びかけています。
FIDO(ファイド)は生体認証やPINといったローカルな認証と、公開鍵暗号方式の署名機能を組み合わせた認証技術です。ユーザー側の端末には秘密鍵を格納し秘密鍵で署名されたトークンをサーバに送信し、サーバが秘密鍵に紐づいた公開鍵を用いて署名を検証します。生体情報やPINは送信されずトークンを傍受されても秘密鍵がなければ対応するトークンを作成することはできません。生体認証と秘密鍵を格納する認証器は端末に内蔵されているので端末を物理的に持ち出されない限り安全です。Windows11にはTPM(Trusted Platform Module)が必須になりましたが、これも認証器です。
FIDOは端末固有の秘密鍵を用いるため、端末の紛失、機種変更が有った場合は新たにサーバに登録する必要があります。FIDOアライアンスは新しい認証方式としてパスキーを策定しています。パスキーには同期パスキーといって、複数端末で同じ秘密鍵を暗号化して同期して使用できる方式が有ります。GoogleパスワードマネージャーやiCloudキーチェーンを用いて端末間で秘密鍵の共有が可能になっています。この秘密鍵は暗号化されていて端末内でしか復号できないので利便性も安全性も兼ね備えた方式といえます。
これらの認証や暗号化は公開鍵暗号方式を用いています。1977年にMITの3人の研究者が開発しました。素数p,qが与えられたときn=pqは簡単に計算できますが、nを素因数分解してpやqを得ることが困難な性質を利用しています。公開鍵暗号で用いられるRSA暗号は一般に約300桁の2つの素数を秘密鍵とし、2つの素数を掛け合わせた約600桁(2048ビット)の合成数を公開鍵としています。公開鍵は秘密鍵の所有者しか復号できない暗号を作成することができ、秘密鍵の署名は公開鍵によって検証ができます。
公開鍵暗号方式はインターネットの暗号化通信(https)をはじめ、マイナンバーカードやビットコインなど多くの場で活用されています。パスキーなどのインフラが整備されることで、より安全なデジタル環境が整うよう期待しています。
