楽天証券の多要素認証とフィッシング対策の課題
はじめに
楽天証券が多要素認証を導入するというニュースがありましたが、これが実際にフィッシング対策として有効なのかについて考察します
フィッシング対策としての多要素認証の弱点
楽天証券が導入した多要素認証は、メールで送られてくる画像と画面上の画像を照合するものですが、これには以下の問題があります:
- 中間者攻撃に弱い構造: フィッシングサイトが本人の入力情報を中継することで、正規サイトへのログインが可能です
- 独自仕様の検証: 標準的な多要素認証(TOTPなど)と異なり、セキュリティの定石から外れています
- 画像選択の偏り: 独自に作成された画像認証システムの場合、選択肢の偏りがないか第三者による検証が難しい
様々な認証方式とその強度
TOTP認証の限界
一般的なTOTP(Time-based One-Time Password)認証も、リアルタイムフィッシング攻撃に対しては完全な防御とはなりません:
- コードの有効期限が短い(通常30〜60秒)のは利点
- しかし、攻撃者がユーザーから取得したTOTPコードをリアルタイムで中継すれば突破可能
パスキー(FIDO2/WebAuthn)の優位性
パスキー(FIDO2/WebAuthnに基づく認証技術)は、現在最も強力なフィッシング対策として注目されています:
- ドメイン検証: 認証時にアクセス中のドメインを厳密に検証
- 物理的セキュリティ: 生体認証や専用のセキュリティキーを使用
- 秘密情報の非送信: 認証情報がデバイスから外部に送信されない
これにより、偽サイトへの誤った認証そのものを防ぐことができます
真に強固なフィッシング対策
フィッシングに強い本人確認方法の最適解:
- パスキー(FIDO2/WebAuthn): スマートフォンの生体認証や物理セキュリティキーを活用
- 複数要素の組み合わせ: 知識・所持・生体情報の複合利用
- 標準化された技術: 独自仕様ではなく国際標準に準拠した認証方式
スクレイピングユーザーのための対応策
多要素認証が導入されても資産情報の自動取得を継続する方法:
1. メール受信時に該当メールをサーバーに自動転送
2. サーバー側で画像を抽出・保存
3. スクレイピングプログラムが抽出画像を取得
4. 画面表示された画像と転送された画像の類似度を分析
5. 類似度の高い画像を選択・クリック
なお僕の環境では毎回以下の画面が表示されており、毎回同じブラウザでアクセスしているのにまともな判別が出来ていないように感じます
このあたりも楽天証券のセキュリティ対策に不安を覚える点になっています
こちらは自宅Asteriskサーバーを用意し、SIPで制御することで自動化しました
リードオンリーで資産情報の詳細を返すAPIがあればこんなことしないで良いのですが、あるのでしょうか……
取引のAPIとかじゃなくて全然問題ないんですよ
日々の資産額がわかればいいので
まとめ
楽天証券の二段階認証は一定のセキュリティ向上は見込めるものの、フィッシング対策としては十分とは言えません
真に効果的なセキュリティのためには、パスキー(FIDO2/WebAuthn)のような国際標準に則った認証方式の導入が望まれます
金融機関には、顧客資産を守るために最高水準のセキュリティ技術の採用が期待されます
ちなみに
奇しくも有価証券は英語でsecurityです
それでは良いNISAライフを