〜「鍵」が盗まれるセッションハイジャックの脅威〜
最近、2段階認証を突破して、不正アクセスの被害に遭うケースをよく聞くよ!
どうしたら資産を守れるのさ?
2段階認証を使うシステムや大規模システムの設計経験もある私が、分かりやすく説明するからね。
はじめに
「2段階認証していたのに不正アクセスされた」――最近、証券口座の不正利用に関してこのような報告が相次いでいます。
「認証していれば安心」と思っていた方にとっては、非常に不安なニュースです。
この記事では、セッションハイジャックという手法に焦点を当てて、「なぜ2段階認証でも突破されてしまうのか?」をわかりやすく解説します。
※なお、デバイス認証も同じ仕組みで突破されます。
私はシステム開発の経験が25年以上あり、Webセキュリティにも関わってきました。その知見をもとに、専門知識がなくても理解できるように解説しますので、ご安心ください。
※二段階認証の設定についての記事はこちら↓
証券口座のセキュリティ対策
セッションハイジャックとは?
鍵を盗まれて中に入られる
2段階認証では、最初に「ID・パスワード」を入力した後、さらに「スマホのアプリやSMS」などで本人確認が求められます。
これに成功すると、サーバー(証券会社)はユーザーに対して一時的な「通行証(セッション)」を発行します。
このセッションこそが、ログイン後のやり取りすべての「鍵」になるものです。
つまり、この鍵(セッション)が盗まれると、2段階認証を突破されなくてもログイン済みと同じ扱いになり、不正に取引されてしまうのです。
鍵(セッション)はこうして盗まれる
例:マルウェア感染
悪意のあるソフトウェア(マルウェア)に感染すると、ブラウザに保存された鍵を抜き取られます。
例:悪意あるサイトのリンク
悪意あるサイトのリンクにプログラムコードが埋め込まれており、鍵を盗みます。
例:セキュリティホール
証券会社のWEBサイトにセキュリティホールがあると、鍵を盗む不正プログラムコードをブラウザに注入されます。
守るためにできること
ログイン通知を設定していても、セッションハイジャックでは悪意ある人はログインしないので通知されません。対策としてできることは限られていますが、下記のような対策は可能です。
✅ ウイルス対策ソフトを導入・更新
セッション情報を盗むマルウェアを防ぐには、セキュリティソフトの導入と定期更新が効果的です。
✅ 取引履歴を定期的に確認
不正アクセスの早期発見のため、履歴確認を習慣化するのがおすすめです。
セキュリティ|SBI証券と楽天証券の注文履歴・約定履歴の表示方法【備忘録】
✅ 明示的にログアウトする。
基本的なセキュリティ設計を行っているシステムならログアウトにより鍵(セッション)は無効になります。取引後はログアウトすることを習慣化しましょう。
おわりに
2段階認証は強力な防御手段ですが、「ログイン後の鍵(セッション)」まで守ってくれるわけではありません。
この鍵が盗まれれば、あなたの資産は奪われかねません。
しかし、セッションハイジャックは「ナンス(nonce)」と呼ばれる一時的で予測不可能なトークンを使うことで、ある程度軽減することができます。証券会社が基本どおりナンスを導入しているかは気になるところです。
できる対策から始めて自分の身は自分で守りましょう。
※2段階認証を突破された方はこちらの記事をどうぞ↓
【緊急対応】証券口座に不正アクセスされた!今すぐやるべき対策まとめFollow @life10work
X(旧Twitter)で実践テクを発信中
今すぐフォローして、あなたのFIRE計画を加速!