2025.06.09
2025.06.08 12:30
●この記事のポイント
・メルカリ、パスキーの登録者数が累計1000万人に達し、パスキーでは不正利用が確認されていないと発表
・パスキー登録者は「メルカリ」にログインする際にパスキーによる認証を原則必須
・楽天証券、ログイン追加認証を全チャネルで必須化。ログイン後に受信したメールに記載の認証画像を確認し、認証コードの画像を順番通りに選択し認証
今年1月頃から被害が拡大していた証券会社のネット証券口座への不正アクセスによる不正取引。不正売買の金額は5月末までに約5240億円に上り(金融庁発表による)、証券各社はログイン時の個人認証厳格化などの対策に取り組んでおり、たとえば楽天証券は6月1日から全チャネルで画像選択方式のログイン追加認証(多要素認証)を必須化している。一方、昨年9月からパスワード不要のパスキーを登録済みのユーザーに対してパスキーによるログインを原則必須化していたフリマアプリのメルカリは先月、パスキーの登録者数が累計1000万人に達し、パスキーではフィッシングによる不正利用が確認されていないと発表した。パスキーとは、端末の顔認証や指紋認証などを用いて本人確認を行う認証方式であり、自民党金融調査会もネット証券で生体認証の導入を促進するよう政府に提言する考えを示している。なぜメルカリはパスキーの登録者を増加させ、不正利用の発生を抑制できているのか。一方、なぜネット証券では不正取引が拡大しているのか。企業への取材をもとに、何が差を生んでいるのかを追ってみたい。
●目次
なぜメルカリはパスキー登録者を増やせたのか
今年1月頃から、ネット証券利用者がログインID・パスワード・取引暗証番号などを盗まれて不正に取引をされるという被害が続出。証券各社が対策を強化しているため不正取引は減っているものの、金融庁発表によれば5月単月での不正売買は2094億円に上り、現在も被害が拡大している。証券各社は取引暗証番号の変更や二段階認証設定を行うよう注意喚起を行っていた。SBI証券は当初、ID・パスワードのみでのログインが可能な「バックアップサイト」を5月30日に閉鎖する予定だったが、セキュリティ上の問題を指摘する声が広まったことを受けて、前倒しして5月2日に閉鎖。楽天証券はリスクベース認証がなかった旧バージョンのトレーディング用アプリ「マーケットスピード」を含む全チャネルについて、6月1日から画像選択方式のログイン追加認証(多要素認証)を必須化した。
そうしたなか、メルカリは5月、パスキー登録者数が累計1000万人に達し、パスキーについてはフィッシングによる不正利用も確認されていないと発表した。なぜメルカリはパスキー登録者を増やせたのか。同社は次のように説明する。
「メルカリでは、2023年4月から暗号資産サービス『メルコイン』の認証にパスワード不要なパスキーを導入し、さらに2024年1月にフリマアプリ『メルカリ』のログイン時にも活用場面を広げてきました。また、2024年9月よりパスキーをご登録されているお客さまにおいては、『メルカリ』にログインする際にパスキーによる認証を原則必須といたしました。これらの安心安全な利用環境の構築に向けた取り組みの中で、パスキー登録者が増加し続け、2025年5月に1,000万人を突破いたしました。
パスキーは、登録されているお客さまにとって、ログイン時のパスワード入力が不要で利便性の向上に繋がるだけでなく、これまでフィッシングによる不正利用が確認されておらず、高い安全性が確保できています。メルカリは、お客さまにとっての利便性と安全性の両面で優れているパスキーの普及促進に取り組んでまいりました。具体的には、お客さまにパスキーについてご理解いただけるよう、ヘルプページの作成と説明動画を公開しております。
また、多くのお客さまに『パスキー』をご利用いただけるようキャンペーン等の施策も並行して実施しておりました」
楽天証券「あらゆる可能性を常に検討」
前述のとおり証券各社も本人認証の厳格化に取り組んでいる。例えば楽天証券は6月1日より、ログイン追加認証を全チャネルで必須化。ユーザーはログインIDとパスワードを入力しログイン後、受信したメールに記載の認証画像を確認し、認証コードの画像を順番通りに選択し認証する。8日からはログイン追加認証で選択する絵文字の組み合わせについて、従来の「絵文字10種類から順番通りに2種類を選択」する仕様から、「絵文字10種類+数字5種類から順番通りに4種類を選択」する仕様に変更する。楽天証券はパスキー認証の導入は検討しているのか。同社は次のようにいう。
「多要素認証などのセキュリティ対策は、今般の事象発生に限らず、従前より注力しており、あらゆる可能性を常に検討しています。絵文字の多要素認証においても、数字10個より数百種類ある絵文字の利用・偽の画面複製のしづらさから、不正アクセスのリスクを低減させるとして2021年より導入しています」
中堅IT企業幹部はいう。
「楽天証券も指紋認証や顔認証を使う認証方式を提供しており、現在では本人認証まわりのセキュリティレベルを上げているので、不正取引は減っていくでしょう。ただ、これまでに関していえば、たとえばメルカリはかなり力を入れてパスキーの登録者の増加に向けて取り組んできており、そうした姿勢の違いが差を生んでいる面はあるかもしれない」
不正取引の被害者に対する補償
5月に入り証券各社は不正取引の被害者に対し一定の補償を行う方針を発表したが、当初、各社は補償には慎重な姿勢をみせていた。金融商品取引法では、証券会社などの金融商品取引業者が顧客の損失を補てんする行為は禁止されていることなどが背景にある。たとえば楽天証券は「総合証券取引約款」の「免責事項 第52条」で、以下の事由により顧客に発生した損失・費用については、その責を負わないとしていた。
「お客様ご自身が入力したか否かにかかわらず、第11条に規定するお客様の認証コード、ワンタイムパスワード、追加認証コード、お問い合わせ番号の一致により当社が本人認証を行い取引注文の申込みを受け付け、当社が受託した上で取引が行われた場合」
「お客様の認証コード等の本人認証のための情報または取引情報等が漏洩し、盗用されたことにより生じた損害につき、当社の故意または重大な過失に起因するものでない場合」
だが、被害の拡大を受けて日本証券業協会は、各社の約款などに関係なく1月以降に発生した不正アクセスによる被害について一定の補償を行う方針で大手10社が合意したと発表した。楽天証券も以下方針を発表した。
「今般のフィッシング詐欺等による不正アクセスにより、第三者がお客様の資産を利用して、有価証券等の売買等を行ったことにより発生した損失について、従前の約款等の定めに関わらず、お客様個別の状況に応じて、一定の被害補償を行う方針です」
「なお、不正取引被害のお申し出を頂戴しているお客様に加え、当社で確認した不正が疑われる取引についても、対象のお客様へのご連絡を予定しております」
(文=BUSINESS JOURNAL編集部)
RANKING
RELATED POSTS
TOP ANGLE
