こんにちは、ハルです。
今回は資産運用についての話です。
一連のネット証券への不正アクセスによる口座乗っ取り・フィッシング詐欺に関する内容です。
前回の記事で、5月31日からSBI証券へのログイン時にFIDO認証と呼ばれるスマホ認証が必須になるというお話をご紹介しました。
今回はこの記事の続きとして、必ずしもFIDO認証は必要ではないのかもしれない、という朗報をご紹介します。
前回の記事の続きです。(↓)
5月31日によりSBI証券のログインにFIDO認証が必須化
初めての方向けに、まずは前回の記事から引用して概要をご説明します。
すでにSBI証券のウェブサイトやメールなどで告知が行われていますが、2025年5月31日からSBI証券へのログイン時にデバイス認証・FIDO認証が必須化されるそうです。
しかしこのFIDO認証を行うときに、別アプリが必要になります。問題はここ。
SBI証券スマートアプリという別のアプリが必要になるのですが、このアプリの評価が低すぎる。
☆1.9はさすがにヤバすぎです
・わざわざ別アプリを要求してくる
・公式アプリなのに不具合満載、改善は放置、レビューへの返事もない
・認証メールが届かずそもそも利用できない
・ログイン時にIDとパスワードだけでなく「取引パスワード」まで入力しなくてはいけない
不具合満載で放置されているようなアプリに、虎の子の「取引パスワード」まで入力しなくてはいけない。これが非常に大きな問題点で、こんな怪しげなアプリに情報を入力するなど見えてる地雷を踏みに行くようなもの、旅順要塞に小銃1挺で突撃させられるようなもの。
スマートアプリに関してSBI証券に問い合わせた→10日経っても何の返事も無い
このお排泄物アプリに関して、あまりにも不安だったのでSBI証券のサポート→お問い合わせページから問い合わせを行いました。以下その内容。
お世話になっております。
今回は5/31から導入されるFIDO認証に必要な「SBI証券スマートアプリ」について問い合わせさせて頂きます。FIDO認証に必要なSBI証券スマートアプリですが、アプリストアの評価を見ていると非常に低い評価となっています。
・認証できない
・不具合を報告しても返事も改善も行われない
・放置されているアプリの利用はリスク
・設定時に「取引パスワード」を入力しなくてはいけない以上のような問題点が挙げられており、特にアプリ設定時にSBI証券の取引パスワードを入力しなくてはいけないというのはセキュリティ上、大きな問題点だと思っております。
詐欺アプリではないかというレビューも多数上がっています。このようなアプリを利用するのは非常に恐怖を感じます。そこで以下の点をお尋ねさせていただきたいです。
① このアプリは本当に公式アプリで、安全なのでしょうか
② 5/31以降はこのアプリを導入していないとSBI証券にログイン出来なくなるのでしょうか
③ このアプリを用いてFIDO認証を行っていないと、不正アクセスの保証対象にはならないということでしょうか要望として、まずは最低限の機能を備えて安心して使えるアプリに改善して頂いてから、FIDO必須化として頂きたいです。
お忙しいところ恐縮ですが、よろしくお願いします。
という、まあこのブログで書いた内容をそれらしく装飾してそのまま送り付けた形です。
特に質問③は答えにくいだろうから、お返事にはまあ数日はかかるかなと思いつつ、
~10日後~
な、なんの返事も無い……ただの屍のようだ
この件に関して問い合わせを行ったのが2025年5月21日。
この記事を書いている現在が2025年5月31日。
実に10日、240時間もの時間が経過しているのに、SBI証券からは何の返事もありません。完全に終わってます。
FIDO認証はどうも必須ではないかも
SBI証券が何も言ってこないのでこちらとしてはどうしようもなく、ただ時間だけが無為に過ぎていくだけだったのですが、その後SBI証券にログインすると以下のような画像が表示されました。
FIDO(スマホ認証)未設定の方へ
多要素認証必須化まであと2日スマートアプリ未登録の場合、電話番号認証が必要となり、ログインのたびにお電話をいただく手間がかかります。
ふ…ふむ。
「スマートアプリ未登録の場合、電話番号認証が必要となり」という文言をそのまま読めば、別にスマートアプリを登録しなくてもSBI証券にログインする方法自体は残されるようです。
代償はSBI証券が言っているように「ログインのたびにお電話をいただく手間がかかります。」ということで、ログインするたびにスマホから電話をかける(通話料は多分無料)手間がかかるみたいですが
・怪しげなアプリに取引パスワードを入力する特大の情報漏洩リスク
と
・ログインのたびに電話する手間
の2つを比較したときに、どう考えても後者のほうを甘んじて受け入れるほうがいいのではないか、と私は感じます。
というかスマートアプリを導入したところで
・ブラウザからSBI証券にログインする
↓
・おもむろにスマホを取り出してスマートアプリを起動する
↓
・スマートアプリで本人確認を行う(指紋認証・顔認証などを利用すると思われる)
↓
・スマートアプリに表示される何かを入力するのか開いただけで認証が完了するのかは不明だが、とにかく1アクションが必要
ということで、認証に要する手間はたいして変わらないように思われます。
これなら電話認証するわ
ということで、私はFIDO認証は行わず、電話認証でしばらく様子見を行おうと思います。
ちなみにこんな面倒なことをするのはSBI証券だけ
私はSBI証券のほかにいくつかのネット証券の口座を持っておりますが、参考にほかの証券会社がどのような認証強化を行っているのかというと
① auカブコム→メールでのワンタイムパスワード発行
② GMOクリック→メールかSMSかアプリで二段階認証
③ 日興→メールでのワンタイムパスワード発行
ということで、証券会社に登録しているメール宛にワンタイムパスワードが表示され、それを入力することで二段階認証が行われます。認証強度はともかく、非常に簡単。SBI証券のように訳の分からない怪しいアプリを入れさせられることもありません、簡潔かつ簡単です。
そのほかに前の記事でもご紹介しましたが、auカブコム証券では「リスクベース認証」と題して、
・端末情報
・通信環境(IPアドレスなど)
・地理的位置
・操作傾向
を監視して、正規のユーザーによるアクセスかどうかをチェックするそうです。そうそう、こういうのでいいんだよ。
なんでSBI証券もこのシステムにしなかったのか本当に謎。ユーザーだけに手間と責任を押し付ける、証券会社の怠慢だと感じます。
ということで今回はここまでにします。
今回はSBI証券のFIDO認証必須化に関して、別にFIDO認証を行わなくても電話番号認証で何とかなりそう、というお話をご紹介しました。
というわけで私はFIDO認証無しでタイムリミットの6月を迎えようと思います。数日後に「やっぱりログイン出来なかった」という記事を泣きながら書いている可能性もありますが、とりあえずこれで様子見という事で。
それではまた。ご覧いただきありがとうございました!
コメント