ネット証券の「デバイス認証」と「FIDO認証」に関して(SBI証券を例に...)

 日本の代表的なネット証券であるSBI証券会社。同社が取り組んでいる『多要素認証』システムに関して、少々コメントさせていただきます。多要素認証』は、大切な金融資産を防御する道具にあたります。設定・運営が少々面倒ですが、しっかり取り組みましょう。では、備忘録的に記していきます。

証券口座乗っ取り、警視庁が捜査開始…一部は中国が発信元か : 読売新聞

ネット証券の「デバイス認証」と「FIDO認証」に関して(SBI証券を例に...)

デバイス認証(パソコン認証

 デバイス認証とは、パソコンの代表的なブラウザ「Microsoft Edge」等を利用して、SBI証券のWEBページにログインして株取引する場合、「登録メールを介して認証済み状態になっている端末機器」以外からのログイン(第三者の不正利用)を防御するシステムを云います。*パソコンのブラウザを介して証券口座へログインする場合は必須。但し、証券会社から提供されているスマホのアプリソフトで証券口座へログインする場合は不要(この場合、FIDO認証が必要)。
  1. デバイス認証を有効に切り替えると、証券会社に登録しているメールアドレスから「英数の識別コード」が送信されて来ます。
  2. これを証券会社WEBページの指定欄に入力し、Enterをクリックします。
  3. 証券会社サーバーは、貴方の「端末(パソコン)固有の識別情報」を自動的に取得します。
  4. 証券会社サーバーは、貴方の正規パソコンと認識して「端末固有の識別情報」を自社サーバに登録します。
  5. 以降、貴方のパソコンからログインがあるたびに、証券会社サーバは貴方に認証メールを送信して、「端末固有の識別情報」をチェックします。
  6. 万が一、貴方が他のパソコンからログインしようとすると、『端末固有の識別情報が相違』となってログイン不可となり、「1~4の作業」を再び行う必要が生じます。
  7. 更に、前回のログインから一定の時間が経過している場合でも、「1~4の作業」を求められます。
  8. なお、端末固有の識別情報としては、以下のようなものがあげられます。これらの情報はユーザーにより変更ができない端末固有の値です。MAC アドレス、IMEI、シリアル番号等...

FIDO認証(スマホ認証

 FIDO認証は、別名スマホ認証とも呼ばれています。FIDO認証の設定以降、FIDO認証(スマホ認証)対応のアプリソフト(SBI株アプリ等)にログインすると、自動で認証スマホアプリが起動し、認証設定の確認が始まります。その後、認証スマホアプリでFIDO認証が完了すると、元のアプリソフトへ自動で遷移して、ログイン後にTOP画面が表示されます。*証券会社から提供されているスマホのアプリソフトで証券口座へログインする場合は必須。しかし、スマホであってもSafariブラウザ等でログインする場合、FIDO認証は不要(この場合、デバイス認証が必要)
  1. 証券会社が提供している「認証用スマホアプリ」を「貴方のスマホにダウンロード」します。
  2. 「認証用スマホアプリ」を開き、証券取引のIDとログインパスワードを入力します。
  3. 登録メールアドレスを指定して、取引パスワードを入力します。
  4. 届いたメールアドレスに記載してある「6桁の認証コード」を「認証用スマホアプリ」の指定欄に入力します。
  5. 「認証方法の選択」をタップして、承認方法の選択を行います。承認方法は次の2種類です。
  6. (A)スマートフォンに実装されている生体認証(指紋認証、顔認証など)と「6桁のパスコード」の利用も登録する方法
  7. (B)「6桁のパスコードのみ」を利用する方法
  8. これで、「認証用スマートアプリ」の初期設定(認証登録)が完了です。

指紋登録や顔写真登録がお嫌いな方は...

 指紋登録や顔写真登録などを組み合わせて、「スマホ所有者の特定情報 = 証券取引の正規ユーザー」であることを、証券会社のサーバーへ送信します。
 その際、個人特定の情報(例えば、IDやパスワード、氏名、生年月日など)を送信するのではなく、例えば「Yes もしくは No」のシンプル送信を行うだけなので、万が一、情報を盗まれても悪用されない利点が強調されています。
 なお、SBI証券では、指紋登録や顔写真登録を拒否するユーザ向けに「6桁パスコード(数字)」を登録して、利用することも可能になっています。

「デバイス認証」と「FIDO認証」共に、登録必須である事由

「デバイス認証」と「FIDO認証」が必須である理由

 SBI証券では、これら2種類の認証登録を必須としています。大方、他の証券会社でも似たりよったりでしょう。メールアドレスとスマホを所有していない方に対して、電話番号(証券会社に登録済み)の発信番号通知を用いた認証方法を取り入れる意向とのことなので、混乱も徐々に収まっていきます。
証券口座の乗っ取り、不正売買3050億円に…金融庁が1~4月の不正取引を集計 : 読売新聞

 証券会社提供のスマホアプリを利用しない方(投資家、ユーザ)であっても『FIDO認証(スマホ認証)登録・設定が必須』とされているのは、悪者(泥棒)が証券会社提供のスマホアプリで貴方の証券口座を狙った場合、FIDO認証(スマホ認証)が未登録・未設定状態のままであれば、防御レベルが大きく低下するからです。
 今回、「FIDO認証(スマホ認証)」の必要性が伝わり難いのは、SBI証券さんの言葉足らずの面が強く、悪意はありませんが、ネット業界混乱に大きな拍車を掛けています(笑)。

「デバイス認証」と「FIDO認証」両方が登録必須である理由
(安さんの「緩いところ」がナイスです...)
  1. 証券口座への不正取引の実例...その1
  2. 証券口座への不正取引の実例...その2
  3. 証券口座への不正取引の実例...その3
  4. 証券口座への不正取引の実例...その4
  5. 証券口座への不正取引の実例...その5