【口座乗っ取り】SBI証券でFIDO認証が5月31日から必須化、SBI証券スマートアプリの危険性・問題点を紹介

こんにちは、ハルです。
今回は資産運用についての話です。

一連のネット証券への不正アクセスによる口座乗っ取り・フィッシング詐欺に関する内容です。
タイトルの通りですが、5月31日からSBI証券へのログイン時に、FIDO認証と呼ばれるスマホ認証が必須になるそうです。

前回の記事の続きです。(↓)

SBI証券の信用口座が凍結された件 証券口座乗っ取り事件・フィッシング詐欺の影響

ある日のこと、SBI証券の株式信用口座が問答無用で凍結されました。その模様と口座乗っ取り被害に関する私の考えをご紹介します。

halu-journey.com

2025.04.16

5月31日によりSBI証券のログインにFIDO認証が必須化

すでにSBI証券のウェブサイトやメールなどで告知が行われていますが、2025年5月31日からSBI証券へのログイン時にデバイス認証・FIDO認証が必須化されるそうです。

これは一連のネット証券への不正アクセスによる口座乗っ取り・フィッシング詐欺に対する対応策の一つです。

ネット証券のIDやパスワードが、いかなる方法かは分かりませんが中共やウラインターネットやダークウェブに漏れた結果、各種ネット証券での口座乗っ取り被害が凄まじいことになっています。

最初はフィッシング詐欺に引っかかったおまぬけさんの自業自得みたいな風潮でしたが、問題の実態が明らかになるにつれてそんな簡単なものでは無い、非常に悪質な組織犯罪だとわかってきました。そのため最初は

偽サイトに騙されるほうが悪いですよね(笑)
保証？するわけねーだろ(藁)

と言っていた各証券会社も、慌ててセキュリティ強化や保証対応などを検討しているそうです。

そこで各ネット証券ではセキュリティ強化の一環としてワンタイムパスワードの発行などを行っていますが、SBI証券では今回FIDO認証と呼ばれるシステムが導入されることになりました。

FIDO認証とはどのようなものか？

今回導入されたFIDO認証と呼ばれるシステムですが、正直聞いたことがない方も多いと思います。私もそうです。

そこでFIDO認証がどのようなものか、簡単に調べてみました。

・FIDO認証は、パスワードを使わずにオンラインサービスのID認証を安全で簡単に行うことができる新しい認証規格
・「サーバーとユーザーで秘密の情報を共有しない」この仕組みが、FIDO認証の持つ大きな特徴です。
・ユーザーデバイスを「盗み出し」、所有していたとしても、「秘密鍵」を使うためには、登録時に行った認証(指紋認証や顔認証)などを行わなければならず、本人以外は利用できない。

まずFIDOとはFast IDentity Onlineの略で、詳しい仕組みは結構複雑なので割愛しますが要するにログイン時にこれまでIDとパスワードだけで良かったものが、そこに1つ認証方法を追加することでさらに安全性が増すとのこと。

その認証にはスマートフォンを用いての指紋認証や顔認証などを利用します。

似たような仕組みに携帯電話の電話番号に送られるSMS認証があります。あれも別のデバイスを用いた認証方法ですが、FIDO認証ではさらに「サーバーとユーザーで秘密の情報を共有しない」という独自のシステムがあるよう。

見た感じメールアドレスやSMSによるワンタイムパスワード認証よりも安全性は高そう。

それは良いのですが……問題点について以下に述べます。

FIDO認証に必要なアプリ(SBI証券スマートアプリ)の評価が悪すぎて怖い

さて一見良さそうなこのFIDO認証ですが、大きな問題点があります。

それはSBI証券のFIDO認証を利用するときに、SBI証券スマートアプリという別のアプリが必要になるのですが、このアプリの評価が低すぎる。

☆1.9はさすがにヤバすぎです。一体どのような点が不評なのでしょうか。

・アプリを立ち上げ指示通りIDとパスワードを入力。しかし何も起こらない。詐欺アプリの可能性がある
・機能としては必要だが使いづらい。正しいコードを入れてもログイン画面に戻るの繰り返し
・ほかの金融系アプリはアプリ内の生体認証で済むのになぜわざわざ別のアプリを入れる必要があるのか

・レビューに対しての返信も問題が改善される様子もない
・放置されているアプリの利用はリスク
・すぐに設定解除、アンインストールしました。

・アプリ設定時に「ユーザー名」「パスワード」「取引パスワード」の入力を強いられる
・わざわざ情報漏洩の裾野を広げているだけ。こういうところで漏れているのでは？？

ざっと皆さんの評価をまとめると、以下のような問題点があるそうです。

特に４つ目の、「ログイン時にIDとパスワードだけでなく「取引パスワード」まで入力しなくてはいけない」という点が致命的だと思います。

上でレビュワーさんがおっしゃっているように、取引パスワードは一番漏らしたくない情報です。正直IDとログインパスワードが突破されても大したことは出来ません。ログインパスワードだけでは注文を入れることも、口座の情報を書き換えることも出来ないからです。

しかし取引パスワードが漏れると、ほぼ証券口座を好き放題にされてしまいます。

その最も重要な情報を、こんな評価の低い怪しげなアプリに入力することを強制されるのはリスクとしか思えませんし、非常に躊躇われます。

正直、こんなアプリを使うのは逆にリスク要因だとすら思います。このアプリを入れることでかえって危険性が増して不正アクセスされる危険すらあるかもしれません。いくら公式アプリと言ってももう安心できないのが現状。

このようなお排泄物アプリを放置するばかりか、実態を無視して「FIDO必須化だからアプリを入れろ」と狂った機械のように繰り返すSBI証券……残念すぎます。

ということで今回はここまでにします。

今回はSBI証券で今後必須化されるFIDO認証と、認証に必要なSBI証券スマートアプリというアプリの問題点についてご紹介しました。

記事内でも触れましたがこんなアプリをスマホに入れたくないです。ましてや取引パスワードを要求するなど言語道断。

しかし私としてはSBI証券はよく利用する証券会社ですし、債券投資やIPOなどで多く利用しています。どうしたものか……とりあえず今回の件についてSBI証券のサポート窓口に問い合わせはしようと思います。その結果もまたご紹介できれば。

それではまた。ご覧いただきありがとうございました！

【口座乗っ取り】FIDO認証しなくても大丈夫そう＆SBI証券に問い合わせするも10日経っても返事はない

一連のネット証券口座乗っ取り被害・フィッシング詐欺に関する対応策として、5月31日からSBI証券へのログイン時にFIDO認証が必須化されますが、今回はこのFIDO認証が必ずしも必須ではないのかも、というお話をご紹介します。

halu-journey.com

2025.05.31

続きです。(↑)