セキュリティリスクがFIREを破滅させる
FIREを実現すると、時間や自由を手に入れ、思い描いた理想の生活が手に入ります。
朝は好きな時間に起き、行きたい場所へ旅し、大切な人と過ごす。
しかし、「自分の資産は、自分で守る」これができなければ理想の人生は実現できません。
資産が増えるほど、あなたは狙われやすくなります。
✔ 情報漏えいによる不正ログイン
✔ ハッキングによる資産流出
✔ フィッシング詐欺やなりすまし被害
一瞬の油断が、築き上げた財産を奪い去るかもしれません。
「もし、すべての資産を失ったら…?」と考えるだけで、背筋が凍る思いをするでしょう。
この記事で得られるもの|抜けのない体系的な理解と対策が必要
「二段階認証を設定しているから安心」
「ウイルス対策ソフトを入れているから大丈夫」
そう考えていませんか?
しかし、セキュリティ対策は一箇所を強化すればOKというものではありません。
また、手当たり次第、対策を導入していては膨大な費用が発生します。
体系的にリスクを理解して適切な対策をバランス良く行うことが必須です。
この記事で、セキュリティを体系化的に理解すると、以下ができるようになります。
- 証券会社が提供するセキュリティ対策の意図がわかる
- メディア等からの情報が見通しよく理解できるようになる
- 自分の環境のどこに抜け穴があるのか判断できる
エンジニアでもセキュリティというのは難しいものです。一般の方がセキュリティを理解するのが非常に重たいのはよく理解できます。わかりやすく解説するのでぜひ、ご利用ください。記事の最後のセキュリティの全体図があります。この図がわかれば体系的に理解できています。ぜひ、最後にテストしてみてください。
1.筆者プロフィール(FIRE済エンジニア)
筆者は、25年以上のエンジニア経験があります。また、大規模な業務システムも豊富に経験しています。機密情報を扱うシステムへの二要素認証の導入経験もあります。また、FIRE済であり、証券口座は筆者にとって命綱です。誰よりも真剣にセキュリティを考えています。その知見をもとに、今回の証券会社への不正アクセス問題について、どのように捉えて、今後、どうするべきかを述べます。
2.リスクと対策の全体像
リスクと対策の全体像です。詳細は以降で解説します。
| カテゴリ | リスクと原因 | 対策 |
|---|---|---|
| 情報漏えい | ①ユーザ自身からの認証情報の流出 ・OSやブラウザの脆弱性 ・怪しいサイトへのアクセス ・ウイルス感染 ・フィッシング詐欺 | 流出前の防止対策 ・OS・ブラウザの最新化 ・セキュリティチェック ・ウイルス対策ソフトの利用 ・怪しいサイトへのアクセス回避 流出後の防御対策 ・2段階認証 ・デバイス認証 ・定期的なパスワード変更 不正アクセス後の対策 ・不正ログイン検知のための通知 ・取引履歴の定期チェック ・証券口座のロック |
| ②証券会社からの認証情報の流出 ・証券会社側の情報管理不備 | ・上記「流出後の防御対策」「不正アクセス後の対策」と同様 ・証券会社のセキュリティを事前に確認 ・複数の証券会社に資産を分散 | |
| ハッキング | ③証券会社へのハッキング ・証券会社側のセキュリティホール | ・契約内容に基づいた【補償請求】の手続きが可能な体制を整える。 ・複数の証券会社に資産を分散 |
PR
3.証券口座に潜む最新のセキュリティリスク
資産を守る上で主に考えられるセキュリティリスクは大きく「情報漏えい」と「ハッキング」の2点に分類できます。
1). 情報漏えい
情報漏洩はユーザー自身 or 証券会社のどちらかで発生します。
① ユーザー自身からの認証情報の流出
パソコンやスマートフォンのOS、ブラウザなどのソフトウェアの脆弱性や、怪しいサイトへのアクセスにより、個人のログイン情報が漏れてしまう可能性があります。
ユーザー自身が利用している資産管理アプリや資産管理サイトからの流出も考えられます。また、ユーザーIDとパスワードだけでなく、2段階認証後のセッション(パスキー)を奪い取る手法も存在します。
【解説】FIRE済エンジニアが解説|2段階認証でも守れない!?“鍵”が盗まれる仕組みと対策
② 証券会社からの認証情報の流出
直接資産を管理する証券会社から、顧客の認証情報が漏れるケースも考えられます。こちらの場合、漏えいリスクはユーザー側の管理だけでなく、企業側のセキュリティ対策にも依存します。
証券会社からの流出が不安で夜も寝られないという声も聞きます。
(※少しだけ技術説明。読み飛ばしても問題ありません)
一般的に情報システムでは下記のようにハッシュ化という手法でパスワードは暗号化されて保管されているので安全です。
ハッシュ化すると科学的に復元は不可能で流出しても悪意ある人は復元することができません。
「このハッシュ化をしていない」、「ハッシュ化する前の生のパスワードをログに出力している」等で漏れることが考えられますが、それらは証券会社の重大な過失です。自分でどうすることもできないので、過度に心配するのはストレスになりますからほどほどにしておきましょう。
2). ハッキング
③ 証券会社へのハッキング
証券会社自体が標的となり、ハッキングによって不正アクセスが行われた場合、顧客情報だけでなく資産そのものが危険に晒されるリスクがあります。
4.不正アクセスを防ぐための体系的セキュリティ対策
それぞれのリスクに対して、流出前の防止対策、流出後の防御対策、不正アクセス後の対策を組み合わせた対策を講じることが求められます。
① ユーザー自身の認証情報の流出に対する対策
■流出前の防止対策 ー 漏洩させないための基本対策
| OSの最新化 | 常に最新のアップデートを適用することで、既知の脆弱性から守りましょう。 |
| ブラウザの最新化 | ブラウザも同様に、最新バージョンを維持し、セキュリティパッチを適用することが重要です。 |
| ブラウザのセキュリティチェック | プラグインや拡張機能の管理、プライバシーモードの活用など、ブラウザ自体のセキュリティ設定を確認しましょう。 |
| ウイルスチェック | 信頼性の高いウイルス対策ソフトを導入し、定期的なスキャンを実施することで、マルウェアの侵入を防ぎます。 |
| 怪しいサイトにアクセスしない | 信頼性の低いサイトや、不審なリンクをクリックしないことが、情報漏えい防止の基本です。 |
【手順】偽の証券サイトの見分け方|FIRE済エンジニアが実践する不正アクセス対策
■流出後の防御対策 ー 漏洩しても不正ログインさせない
●2段階認証
万が一、パスワードが漏れた場合でも、追加の認証ステップを設けることで不正ログインを防止します。
楽天証券
https://www.rakuten-sec.co.jp/web/security/anshinlogin
(楽天証券2段階認証の画面に遷移します)
●デバイス認証・FIDO認証
万が一、パスワードが漏れた場合でも、特定の端末のみアクセスを許可することで不正ログインを防止します。
●定期的なパスワード変更
パスワードを定期的に変更することで、長期間同じ認証情報が使われるリスクを低減できます。
■不正アクセス後の対策
●ログイン・約定通知 – 不正アクセスを検知する
不正なアクセスがあった場合に即座にメールで通知を受ける設定を行い、早期に対策を講じられるようにしましょう。
楽天証券
ログイン通知:
https://faq.rakuten-sec.co.jp/90001111
約定通知:
https://www.rakuten-sec.co.jp/web/service/mailservice/notification.html
(楽天証券約定通知メール登録の画面に遷移します)
SBI証券
(SBI証券ログイン通知メール設定の画面に遷移します)
約定通知:
(SBI証券約定通知メール設定の画面に遷移します)
●取引履歴・注文履歴の定期チェック- 不正アクセスを検知する
ハッカーがメールアドレスを変更する事象も確認されています。取引履歴、注文履歴を定期的に確認することでより完全な対策となります。
【手順】SBI証券と楽天証券の注文履歴・約定履歴の確認手順|FIRE済エンジニアが実践する不正アクセス対策
●証券口座のロック- 不正アクセスされても取引させない
また、現状は、証券会社のセキュリティ対策が十分でありません。口座をロックすることも検討する必要があります。筆者も、当面は口座を部分的にロックして運用する予定です。
【手順】楽天証券・SBI証券の口座ロック方法|FIRE済エンジニアが実践する不正アクセス対策
② 証券会社からの認証情報の流出に対する対策
- 「流出後の防御対策」「不正アクセス後の対策」
証券会社側からの情報漏えいについては、上記のユーザー自身で講じる「流出後の防御対策」「不正アクセス後の対策」が有効です。二段階認証や定期的なパスワード変更、不正アクセス時の迅速な検知は、企業側の情報漏えいに依存しない自衛策として非常に重要です。 - 複数の証券会社に資産を分散
複数証券会社に資産を分散することで被害が発生したときの、最大額を軽減することができます。しかし、一方、自分自身が管理する口座は増えるため、被害の発生確率は増加します。一般的に、証券会社よりも個人PCの方がはるかに脆弱です。安易に判断しないように自分の特性も踏まえて決める必要があります。
③ 証券会社へのハッキングに対する対策
- 補償請求
万が一、証券会社がハッキング被害に遭った場合には、契約内容に基づいた補償請求が可能な場合があります。被害発生時には、速やかに証券会社に連絡し、補償の手続きや被害の拡大防止策を講じることが求められます。 - 複数の証券会社に資産を分散
上記②の「複数の証券会社に資産を分散」と同様です。
5.まとめ|資産を守るために今すぐすべきこと
FIRE民として安心して資産運用を続けるためには、日々のセキュリティ対策が欠かせません。基本的なソフトウェアの更新や安全なサイトの利用、そして二段階認証などの高度なセキュリティ対策を怠らず、万が一の時に備えた早期検知体制も整えておくことが重要です。
自らの対策だけではなく、利用している証券会社のセキュリティレベルにも注意を払い、必要に応じた補償制度についても理解を深めておきましょう。
また、万が一、不正アクセスに合った場合に備え、緊急時の対応を事前に把握しておきましょう。
【緊急対応】証券口座に不正アクセスされた!今すぐやるべき対策まとめ
より技術的な内容が知りたい方はこちらが参考なります。
皆さんが安心してFIREライフを送るための一助となれば幸いです。安全な資産運用を心がけ、豊かな未来を実現しましょう!
下記は上記の説明の全体を表す図です。頭の中にイメージをインプットするのにご利用ください。
全体図
PR