今年度になって証券口座が乗っ取られる事案が相次ぎ、証券各社が対応に追われている。先日会った某社の担当役員は「初めてCEOが私の健康を気遣ってくれた」と、疲れた表情で自嘲気味に語った。被害額については教えてくれなかったが、今月になって金融庁が4月までの被害額を公表している。
証券口座乗っ取り、不正取引額3000億円超に被害拡大-金融庁
どうしてこんなことになったのか?表層的な原因として、利用者がID/パスワードを使いまわしたり、想定しやすいものを選んでいたからだとある。それ以前に、インターネット取引における本人認証が「多要素」になっていなかったことが問題として大きい。インターネットバンキングがかなり以前に多要素認証になっているのに、なぜ証券口座は・・・については分からなかった。
その疑問に、金融業界に詳しい人が答えてくれた。彼は十数年前から証券業界にリスクを訴え、セキュリティ強化を図るべきと提案していたという。しかし業界の回答は、「仮に証券口座を他人が操作できても、嫌がらせにはなっても操作した者に利益はない」ので、今のレベルでセキュリティは十分だというものだった。
日本の証券会社を通じて、日本人が日本円で日本企業の株式を売買する前提なら、この回答は間違っていない。金融庁が厳しい規制をかけていて、
・証券会社は監督下にあり
・利用者も身元確認が出来ていて、匿名ではない
・売買される株式の対象企業も、怪しげなものではない
市場になっているのだ。もちろん不正な株価操作や、ジャンク債券が顕れることもあるが、それらの多くはインターネット取引はどうかは別にして、犯罪として摘発されている(はず)。だから、証券会社がインターネット口座を利用者に用意しても、大きなリスクはなかった。即預金等が窃取されかねない銀行口座のセキュリティとは、レベルが違っていいとの判断で、多要素認証は見送られていたのだ。
<続く>
