多要素認証を突破するリアルタイムフィッシングの脅威！検討すべき「身近な対策」とは？

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

オンラインの証券会社や銀行を標的としたサイバー攻撃が激化し、顧客の預金が不正に引き出されたり、不正な株取引が行われたりといった深刻な被害が発生している。生成AIによって“不自然な日本語“でフィッシングメールやサイトを見分けることが困難になり、多要素認証も突破する新たな攻撃手法が登場しているいま、日本の金融業界全体が攻撃を受けているといっても過言ではない。この厳しい状況下で顧客を守るために、金融機関がとりうる対策について整理する。

多要素認証より安全なセキュリティ対策とは？

（Photo/Shutterstock.com）

日本の金融機関全体が狙われている

　証券会社のWebサイトを装った偽のサイト（フィッシングサイト）を使って顧客のIDとパスワードを盗み、不正な取引を行う被害が急増している。金融庁の報告によれば、不正アクセスの数は2025年3月から急増し、4月には1,300億～1,500億円もの不正取引による被害が確認されている。

不正アクセス、不正取引の状況

（出典：金融庁の資料）

　ターゲットは証券会社にかぎらない。2023年に入ってからは、同じくフィッシングによるインターネットバンキングの不正送金も増えており、金融業界全体が深刻なサイバー攻撃にさらされているのが実態だ。

　原因の1つと考えられているのが生成AIだ。以前は、フィッシングメールやフィッシングサイトでは不自然な日本語が使われていることが多かったが、生成AIによってそれがなくなった。このため、利用者がフィッシングサイトに誘導されてしまうリスクが高くなったと考えられる。

　こうした事態を受けて、現在、各金融機関ではセキュリティ強化の動きが急だ。特に導入が急がれているのが多要素認証（多要素認証）である。サイトへのログイン時はもちろん、株の売買や送金手続きなどの実行時にSMSやメールで認証コードを利用者に送り、そのコードを入力してもらうことで不正取引を防ぐ目的がある。

　しかし、これらの対策で本当に大丈夫なのだろうか。現実に最近は、多要素認証さえも突破する「リアルタイムフィッシング」という新たな攻撃手法も登場している。ここからは、こうした最新の攻撃にも対応できる、より安全な認証方法について紹介する。

この記事の続き＞＞