証券口座の不正アクセス対策、パスキーなどの多要素認証を必須化へ

日本証券業協会は15日、「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案を公表し、パブリックコメントを開始した。証券口座への不正アクセスと不正取引の発生を受けた対応で、ログイン時、出金時、出金先銀行口座の変更時などで、フィッシング耐性のある多要素認証の実装や必須化について変更を行なう。

2025年初頭から、証券業界では不正アクセスが相次ぎ、不正取引による被害も発生した。そのため、多くの証券会社では、ID・パスワードでの認証に加え、メールや認証アプリでの確認を行なう「多要素認証」を導入するなど対応に追われている。

今回の変更では、ログイン・出金、出金先銀行口座の変更時など、重要な操作時には、「フィッシングに耐性のある多要素認証」を必須化。パスキーによる認証やPKI(公開鍵基盤)をベースとした認証などを導入する。また取引時についてもフィッシング耐性ある多要素認証の導入が望ましいとしている。

これらのフィッシング耐性のある多要素認証を実装するまでの暫定的な対応として、代替的な多要素認証を使う場合は、具体的なスケジュールについて顧客に周知するよう求める。また、振る舞い検知やログイン通知などの通知機能の強化を求めるほか、顧客への通知の強化とともに、認証に連続して失敗した場合のアカウント・ロックの自動発動機能を必須化する。

そのほか、外部委託先における顧客情報(個人情報)についての安全管理措置の強化や、顧客アカウントの凍結後の再開では新たに本人確認を行なうなどを定めている。パブリックコメントは8月18日17時まで受け付ける。