オンライン証券口座を何者かに乗っ取られ、不正取引される被害が後を絶たない。証券各社は、口座へのログイン時に複数の方法で本人確認する「多要素認証」を必須化するなどの対策に乗り出しているが、専門家は「被害防止には万全ではない」と警鐘を鳴らす。

　証券口座乗っ取りを巡っては1～5月末、証券会社16社で株を勝手に売買される不正取引が計5958件確認され、売買金額は計約5240億円に上った。悪用されたIDとパスワードは、フィッシングやコンピューターウイルスによって盗まれたとみられ、警視庁が不正アクセス禁止法違反容疑で捜査を続けている。

　証券各社も、急ピッチで被害防止に取り組んでいる。日本証券業協会によると、これまでに76社がログイン時、IDとパスワードに加え、ワンタイムパスワードの入力を求めるなど、多要素認証の必須化を決めた。

　ワンタイムパスワードは一度しか使用できず、一定時間ごとに自動的にパスワードが更新される。サイバーセキュリティー事業を手掛ける「マクニカ」（横浜市）のセキュリティ研究センター長補佐、瀬治山豊さんは「被害防止に一定の効果はある」との見方を示す。

　ただ、「リアルタイムフィッシング」の存在を挙げ、「引き続き注意が必要だ」と呼び掛ける。

　リアルタイムフィッシングは、攻撃者が利用者のIDやパスワードだけでなく、ワンタイムパスワードなども盗み取る手口で、多要素認証を突破できるとされる。

　フィッシング対策協議会によると、2019年ごろから手口が確認されるようになり、23年にインターネットバンキングの不正送金被害が急増した要因の一つとも考えられている。

　瀬治山さんは、口座乗っ取りや不正取引の被害防止に向け、万全ではないとしつつ、「多要素認証は必ず設定してほしい」と強調。従来のフィッシング対策と同様に「メールやショートメッセージサービス（SMS）のリンクを開かないことも重要だ」と訴えている。