【要約】『証券会社のパスキーへの移行』〜7,393億円の不正売買が業界標準を塗り替えた〜 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
2025年、日本の証券業界は年間7,393億円に及ぶ大規模な不正売買被害に直面した。攻撃者は従来の多要素認証(MFA)を無効化する高度な手法を駆使していた。
- ・Hack, Pump and Dump:不正売却と特定株の買い付けを組み合わせた巧妙な手法。
- ・リアルタイムフィッシング(AITM):SMSやメールOTPをリアルタイムで中継・奪取する攻撃。
- ・インフォスティーラー:ブラウザに保存されたIDやCookieを窃取するマルウェアの蔓延。
// Approach
証券各社は、フィッシング耐性を備えたFIDO2規格に基づくパスキーへの移行を急いでいる。金融庁のガイドライン改正を受け、認証の仕組みを根本から刷新するアプローチを採用した。
- ・FIDO2/WebAuthnの採用:ドメイン検証により、偽サイトでの認証を機械的に拒絶する。
- ・公開鍵暗号方式の利用:秘密鍵をデバイス内のセキュアエレメントに保持し、サーバーへ送らない。
- ・DMARCのrejectポリシー適用:自社を騙るフィッシングメールの送信を物理的に遮断する。
- ・マイナンバーカード連携:野村證券のように、公的個人認証を用いた多層防御を構築する。
// Result
パスキーの導入と規制強化により、証券業界のセキュリティ水準は劇的に向上した。不正アクセス件数は、導入後のピーク時と比較して大幅な減少傾向を示している。
- ・不正アクセス件数の激減:4月の5,279件から、12月には343件まで減少。
- ・業界標準の確立:金融庁の指針に基づき、主要各社がパスキーの必須化を決定。
- ・高度な認証フロー:マイナンバーカードを活用した、より強固な登録プロセスの実現。
Senior Engineer Insight
> パスキーはAITMに対して極めて強力な防御力を提供する。しかし、OSやブラウザの要件によるデジタルデバイドは無視できない課題だ。また、高頻度取引を行うユーザーへのUX設計も重要となる。プラットフォームへの依存リスクを考慮し、ハードウェアキーの選択肢も残すべきである。セキュリティと利便性の高度なバランスが、実戦投入の鍵となる。