🐰うさぎでもわかる証券会社のセキュリティ問題2025/05/02に公開2025/05/074件APISecurity金融認証フィッシング詐欺techDiscussionritou2025/05/02 認証アプリ(Google Authenticator等) 長所:SMS認証より安全、オフラインでも使用可能 可能な限り強固な認証方式(認証アプリやハードウェアキー)を選択 アプリを使うものといってもいわゆるTOTPや同意をするタイプのものなどいくつかありますが、どちらもAiTMでやられるリスクはあります。 フィッシング対策の強化:認証コード画像選択方式など、新しい認証手法の導入 認証コード画像選択方式というものは、フィッシング、特にAiTMに対してはそれほど効果がないと思われます。フィッシング耐性の文脈においてはパスキーなどを例示する方が適切な気がします。 定期的(3-6ヶ月ごと)なパスワード変更 総務省の方針などで必要ないといった記載がされていたりします。 taku_sid2025/05/03コメントありがとうございます。 セキュリティ認証についての考察、非常に的確だと思います。いくつか追加で考えられる点を挙げさせていただきます FIDOベースの認証(パスキーを含む)は、確かにAiTM攻撃に対して最も効果的な防御となりますね。実装の手間はかかりますが、エンドユーザーの体験としても非常にシームレスです。 ZTNA(Zero Trust Network Access)のアプローチを取り入れることも重要です。認証は単なる入り口ではなく、継続的な検証と位置づける必要があります。 認証コード画像選択方式については、確かにAiTM対策としては不十分ですね。セッションハイジャックや他のソーシャルエンジニアリング手法にも対応する必要があります。 パスワード変更については、NISTガイドラインでも定期変更よりもパスワードポリシーの強化(複雑性要件、使い回し防止、パスワードマネージャーの利用促進)を推奨していますね。 認証強化においては、ユーザーの利便性も考慮する必要がありますが、PAMソリューションやアダプティブ認証などを組み合わせることで、セキュリティと使い勝手のバランスを取ることができそうです。 返信を追加prbt2025/05/03に更新 テスタさんのケースでも「二段階認証が機能していなかった可能性」が指摘されています。 楽天証券のマケスピやiSpeed、SBIではID/PWだけで入れるバックアップサイト(閉鎖済?)があり、そこでは2要素認証が不要でセキュリティホールを証券会社自ら作っている印象を受けました。 金融庁、日本証券業協会がもっと早くから指針を出せば改善したという意見もあると思いますが、自分は証券会社自体のセキュリティ体質が悪かったのだと思っています。 対策ですが、楽天証券の場合現状PWを長くする事と毎日口座を確認する事以外あまり効果はないと思っています。インフォスティーラーの疑いがある場合はその端末の使用をやめるのもいいと思います。 ログインされると認証を必要とせず通知をOFFにすることも可能で、2段階認証も前述のとおり抜け道があったり、2"要素"ではないので依然として危ないと思います。(セキュリティ向上のアプデは入っていて、現在どうなっているかは把握していません。SBIは多要素のようなのでバックアップサイトが閉鎖されれば多少安全かもしれません。) 補償の交渉段階であなた(証券会社)のシステムの中で一番堅牢なセキュリティにしていましたと言えるのが2段階認証などの設定をする意味なのかなと思っています。 taku_sid2025/05/03コメントありがとうございます。 証券システムのセキュリティについての詳細な分析、とても的確だと思います。特にバックアップサイトの問題提起は重要な視点ですね。 楽天証券のマネスピ等のID/PWだけで入れるサイトは確かにセキュリティホールになりうる点は軽視できません。MFA(多要素認証)の設定有無にかかわらず、こうした代替経路が存在すると全体のセキュリティレベルが下がってしまいます。 証券会社のセキュリティ実装については、「最強のセキュリティ」と言いながら基本的な防御層に抜け道があるのは確かに問題です。補償交渉においても、「可能な対策を全て実施していた」ことが重要な要因になるという視点は重要ですね。 ただ、MFAについては以下の点も考慮すべきかと思います: Infostealerによってセッションが盗取された場合、MFAを突破可能(Post-Auth状態のセッションが取得できるため) したがってMFA "だけ" では完全な対策にはならない エンドポイントセキュリティ、ネットワークモニタリング、異常検知といった多層防御が必要 証券取引システムの特性上、「利便性と安全性のバランス」を取るのは非常に難しいですが、特にバックアップアクセス方法については再考の余地が大きいと思います。 返信を追加
ritou2025/05/02 認証アプリ(Google Authenticator等) 長所:SMS認証より安全、オフラインでも使用可能 可能な限り強固な認証方式(認証アプリやハードウェアキー)を選択 アプリを使うものといってもいわゆるTOTPや同意をするタイプのものなどいくつかありますが、どちらもAiTMでやられるリスクはあります。 フィッシング対策の強化:認証コード画像選択方式など、新しい認証手法の導入 認証コード画像選択方式というものは、フィッシング、特にAiTMに対してはそれほど効果がないと思われます。フィッシング耐性の文脈においてはパスキーなどを例示する方が適切な気がします。 定期的(3-6ヶ月ごと)なパスワード変更 総務省の方針などで必要ないといった記載がされていたりします。 taku_sid2025/05/03コメントありがとうございます。 セキュリティ認証についての考察、非常に的確だと思います。いくつか追加で考えられる点を挙げさせていただきます FIDOベースの認証(パスキーを含む)は、確かにAiTM攻撃に対して最も効果的な防御となりますね。実装の手間はかかりますが、エンドユーザーの体験としても非常にシームレスです。 ZTNA(Zero Trust Network Access)のアプローチを取り入れることも重要です。認証は単なる入り口ではなく、継続的な検証と位置づける必要があります。 認証コード画像選択方式については、確かにAiTM対策としては不十分ですね。セッションハイジャックや他のソーシャルエンジニアリング手法にも対応する必要があります。 パスワード変更については、NISTガイドラインでも定期変更よりもパスワードポリシーの強化(複雑性要件、使い回し防止、パスワードマネージャーの利用促進)を推奨していますね。 認証強化においては、ユーザーの利便性も考慮する必要がありますが、PAMソリューションやアダプティブ認証などを組み合わせることで、セキュリティと使い勝手のバランスを取ることができそうです。 返信を追加
taku_sid2025/05/03コメントありがとうございます。 セキュリティ認証についての考察、非常に的確だと思います。いくつか追加で考えられる点を挙げさせていただきます FIDOベースの認証(パスキーを含む)は、確かにAiTM攻撃に対して最も効果的な防御となりますね。実装の手間はかかりますが、エンドユーザーの体験としても非常にシームレスです。 ZTNA(Zero Trust Network Access)のアプローチを取り入れることも重要です。認証は単なる入り口ではなく、継続的な検証と位置づける必要があります。 認証コード画像選択方式については、確かにAiTM対策としては不十分ですね。セッションハイジャックや他のソーシャルエンジニアリング手法にも対応する必要があります。 パスワード変更については、NISTガイドラインでも定期変更よりもパスワードポリシーの強化(複雑性要件、使い回し防止、パスワードマネージャーの利用促進)を推奨していますね。 認証強化においては、ユーザーの利便性も考慮する必要がありますが、PAMソリューションやアダプティブ認証などを組み合わせることで、セキュリティと使い勝手のバランスを取ることができそうです。
prbt2025/05/03に更新 テスタさんのケースでも「二段階認証が機能していなかった可能性」が指摘されています。 楽天証券のマケスピやiSpeed、SBIではID/PWだけで入れるバックアップサイト(閉鎖済?)があり、そこでは2要素認証が不要でセキュリティホールを証券会社自ら作っている印象を受けました。 金融庁、日本証券業協会がもっと早くから指針を出せば改善したという意見もあると思いますが、自分は証券会社自体のセキュリティ体質が悪かったのだと思っています。 対策ですが、楽天証券の場合現状PWを長くする事と毎日口座を確認する事以外あまり効果はないと思っています。インフォスティーラーの疑いがある場合はその端末の使用をやめるのもいいと思います。 ログインされると認証を必要とせず通知をOFFにすることも可能で、2段階認証も前述のとおり抜け道があったり、2"要素"ではないので依然として危ないと思います。(セキュリティ向上のアプデは入っていて、現在どうなっているかは把握していません。SBIは多要素のようなのでバックアップサイトが閉鎖されれば多少安全かもしれません。) 補償の交渉段階であなた(証券会社)のシステムの中で一番堅牢なセキュリティにしていましたと言えるのが2段階認証などの設定をする意味なのかなと思っています。 taku_sid2025/05/03コメントありがとうございます。 証券システムのセキュリティについての詳細な分析、とても的確だと思います。特にバックアップサイトの問題提起は重要な視点ですね。 楽天証券のマネスピ等のID/PWだけで入れるサイトは確かにセキュリティホールになりうる点は軽視できません。MFA(多要素認証)の設定有無にかかわらず、こうした代替経路が存在すると全体のセキュリティレベルが下がってしまいます。 証券会社のセキュリティ実装については、「最強のセキュリティ」と言いながら基本的な防御層に抜け道があるのは確かに問題です。補償交渉においても、「可能な対策を全て実施していた」ことが重要な要因になるという視点は重要ですね。 ただ、MFAについては以下の点も考慮すべきかと思います: Infostealerによってセッションが盗取された場合、MFAを突破可能(Post-Auth状態のセッションが取得できるため) したがってMFA "だけ" では完全な対策にはならない エンドポイントセキュリティ、ネットワークモニタリング、異常検知といった多層防御が必要 証券取引システムの特性上、「利便性と安全性のバランス」を取るのは非常に難しいですが、特にバックアップアクセス方法については再考の余地が大きいと思います。 返信を追加
taku_sid2025/05/03コメントありがとうございます。 証券システムのセキュリティについての詳細な分析、とても的確だと思います。特にバックアップサイトの問題提起は重要な視点ですね。 楽天証券のマネスピ等のID/PWだけで入れるサイトは確かにセキュリティホールになりうる点は軽視できません。MFA(多要素認証)の設定有無にかかわらず、こうした代替経路が存在すると全体のセキュリティレベルが下がってしまいます。 証券会社のセキュリティ実装については、「最強のセキュリティ」と言いながら基本的な防御層に抜け道があるのは確かに問題です。補償交渉においても、「可能な対策を全て実施していた」ことが重要な要因になるという視点は重要ですね。 ただ、MFAについては以下の点も考慮すべきかと思います: Infostealerによってセッションが盗取された場合、MFAを突破可能(Post-Auth状態のセッションが取得できるため) したがってMFA "だけ" では完全な対策にはならない エンドポイントセキュリティ、ネットワークモニタリング、異常検知といった多層防御が必要 証券取引システムの特性上、「利便性と安全性のバランス」を取るのは非常に難しいですが、特にバックアップアクセス方法については再考の余地が大きいと思います。
Discussion
アプリを使うものといってもいわゆるTOTPや同意をするタイプのものなどいくつかありますが、どちらもAiTMでやられるリスクはあります。
認証コード画像選択方式というものは、フィッシング、特にAiTMに対してはそれほど効果がないと思われます。フィッシング耐性の文脈においてはパスキーなどを例示する方が適切な気がします。
総務省の方針などで必要ないといった記載がされていたりします。
コメントありがとうございます。
セキュリティ認証についての考察、非常に的確だと思います。いくつか追加で考えられる点を挙げさせていただきます
FIDOベースの認証(パスキーを含む)は、確かにAiTM攻撃に対して最も効果的な防御となりますね。実装の手間はかかりますが、エンドユーザーの体験としても非常にシームレスです。
ZTNA(Zero Trust Network Access)のアプローチを取り入れることも重要です。認証は単なる入り口ではなく、継続的な検証と位置づける必要があります。
認証コード画像選択方式については、確かにAiTM対策としては不十分ですね。セッションハイジャックや他のソーシャルエンジニアリング手法にも対応する必要があります。
パスワード変更については、NISTガイドラインでも定期変更よりもパスワードポリシーの強化(複雑性要件、使い回し防止、パスワードマネージャーの利用促進)を推奨していますね。
認証強化においては、ユーザーの利便性も考慮する必要がありますが、PAMソリューションやアダプティブ認証などを組み合わせることで、セキュリティと使い勝手のバランスを取ることができそうです。
楽天証券のマケスピやiSpeed、SBIではID/PWだけで入れるバックアップサイト(閉鎖済?)があり、そこでは2要素認証が不要でセキュリティホールを証券会社自ら作っている印象を受けました。
金融庁、日本証券業協会がもっと早くから指針を出せば改善したという意見もあると思いますが、自分は証券会社自体のセキュリティ体質が悪かったのだと思っています。
対策ですが、楽天証券の場合現状PWを長くする事と毎日口座を確認する事以外あまり効果はないと思っています。インフォスティーラーの疑いがある場合はその端末の使用をやめるのもいいと思います。
ログインされると認証を必要とせず通知をOFFにすることも可能で、2段階認証も前述のとおり抜け道があったり、2"要素"ではないので依然として危ないと思います。(セキュリティ向上のアプデは入っていて、現在どうなっているかは把握していません。SBIは多要素のようなのでバックアップサイトが閉鎖されれば多少安全かもしれません。)
補償の交渉段階であなた(証券会社)のシステムの中で一番堅牢なセキュリティにしていましたと言えるのが2段階認証などの設定をする意味なのかなと思っています。
コメントありがとうございます。
証券システムのセキュリティについての詳細な分析、とても的確だと思います。特にバックアップサイトの問題提起は重要な視点ですね。
楽天証券のマネスピ等のID/PWだけで入れるサイトは確かにセキュリティホールになりうる点は軽視できません。MFA(多要素認証)の設定有無にかかわらず、こうした代替経路が存在すると全体のセキュリティレベルが下がってしまいます。
証券会社のセキュリティ実装については、「最強のセキュリティ」と言いながら基本的な防御層に抜け道があるのは確かに問題です。補償交渉においても、「可能な対策を全て実施していた」ことが重要な要因になるという視点は重要ですね。
ただ、MFAについては以下の点も考慮すべきかと思います:
証券取引システムの特性上、「利便性と安全性のバランス」を取るのは非常に難しいですが、特にバックアップアクセス方法については再考の余地が大きいと思います。