いま起きていること
どうやら現在、楽天証券においてフィッシング詐欺による取引不正が多発しているらしい。
これに関してのニュース↓
また、楽天証券の公式ページでもこんな感じで注意喚起がなされている。
ちなみに2025年3月22日の20時の断面では、ログイン規制がされており、翌23日の3時30分にサービス再開とのこと。
(https://www.rakuten-sec.co.jp/ITS/V_ACT_Login.html)
現時点ではなにもできない
かなり大事にはなっているものの、現時点ではログイン規制がされているため、ユーザー側ですぐにできる対策はない。
23日の朝にはサービス開始予定なので、朝起きてから楽天証券の公式ページの案内を読んで、具体的な対策をするのが良いだろう。
基本的な対策内容
ここからは、フィッシング詐欺対策として「これをやってください」という鉄板の内容を紹介しよう。
二段階認証の設定
メールやSMS、認証用のトークン発行アプリなど、ユーザーIDとパスワードと以外の認証を追加で行う事で、リスクを低減する手法となる。これまでの楽天証券では、送信されたメールに記載したイラストと同じイラストを、認証画面で選択する方式だった。
まだ設定していない方は、ログインが可能になったらまず設定しておくべき。
パスワードの変更
パスワードも変更しておいた方がよい。できる事なら、二段階認証に利用しているor利用しようとしているメールサービスのパスワードも変えておくことを推奨する。
なお、楽天証券のページ内でも記載されているが、単純なパスワードは避けること。リスト攻撃で突破されてしまう危険がある。
サービスにログインする端末は、自身のもののみにする
漫画喫茶などの共用PCなどでこの手のサービスを利用することは厳禁だ。これに関しては、絶対行わないようにすること。本音を言うなら、そもそも共用PCを利用するべきではない。自分の前に触ってたヤツが何してるか分かったもんじゃないので。
認証まわりのこれから
昨今この手のセキュリティインシデントが増加しており、パスワードを用いた認証に限界が来ているように思う。
実際にGoogleはパスキー認証を採用しているし、国内でもDOCOMOや任天堂などの大手企業で採用していたりする。
これからの認証は、「IDやパスワードのなどのテキストデータを入力させずに、本人であるかを判断する」ことにフォーカスしていくだろう。
生体認証はSFじゃなくてリアル、間違いない。
最後に
A自分もエンジニアとしてユーザ認証がある機能を触ったことがあるし、この手のトラブルの対応をしたことがあるが、本番のログ解析だったり、即席で認証周りの処理いじったりで一時的にかなり忙しくなった。きっと楽天もいま大変だと思う。
正直なところ、自分はもうあんまり認証周りを作りたくなくなってきている。やりたくなくなるくらい、求められるものが多いのが認証機能ということだ。
とりあえず明日の朝、楽天のページを確認しにいこう。
コメント