ELEMENTSグループの株式会社Liquid(本社:東京都中央区、代表取締役:長谷川 敬起、以下「Liquid」)は、この度、証券業界の不正ログイン対策を強化する新プランの提供を開始します。業界で多要素認証が提唱されるなか、本プランは、スマートフォンやPCと本人を確実に結びつける“バインディング”を行ったうえで、ログイン時には生体認証によるパスキーを活用するものです。これにより、不正者に知られると突破されてしまうID・パスワードやワンタイムパスワードなどを狙ったフィッシング攻撃からユーザーを保護することが可能になります。
LIQUID AuthのWebサイト
背景:個人投資家を狙った証券口座乗っ取りが相次ぎ、不正取引額は4か月で3,000億円超
オンライン証券口座を狙った不正アクセスが相次いでいます。金融庁は、不正取引額が今年1月から4月末までの合計で3,000億円超に拡大したと発表しています※1。不正者は、フィッシングやマルウェアなどにより口座を乗っ取り、取引量の少ない株を使った不正売買に悪用しています。自らの口座で高値の売り注文を出し、乗っ取った口座から買い注文を出し価格をつり上げ、利益を得る手口です。結果、乗っ取られた口座に損失が残ります。
[画像1: https://prcdn.freetls.fastly.net/release_image/13861/223/13861-223-2a9285eb43dd80a259de21f87885f983-1000x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
[画像2: https://prcdn.freetls.fastly.net/release_image/13861/223/13861-223-15914198af9660126710def293ca1d41-1200x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
証券口座乗っ取りの実態について
<課題:乗っ取り対策として導入が進むワンタイムパスワードは世界的にリスクあり>
こうした背景から、業界ではワンタイムパスワードをはじめ複数の認証手段を組み合わせる多要素認証の導入が進んでいます。一方で、所持認証であるワンタイムパスワードもフィッシングで盗まれる事例が発生しており、フィッシング対策協議会は、2024年11月末に過去最高となった不正送金被害額(80.1億円※2)急増の要因として、ワンタイムパスワードなどを盗むリアルタイムフィッシングを挙げています※3。世界的権威のある米国国立標準技術研究所(NIST)は、「RESTRICTED(制限付き)」な認証手段と位置づけ、リスクが大きい場合は、「SHALL NOT be used(使用すべきではない)」と示しています※4。また、米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)も2024年12月、SMS認証(一般的にワンタイムパスワードで利用される)は破られるリスクがあり、フィッシング耐性を有する唯一の手段としてFIDOを挙げ※5、注意喚起が国際的に強まっています。
※1 金融庁 インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
※2 警 察 庁/金 融 庁 フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)
※3 フィッシング対策協議会 フィッシングレポート 2024
※4 NIST SP 800-63B Authentication and Lifecycle Management
※5 CISA Mobile Communications Best Practice Guidance
提供内容:パスキーと、スマホやPCと本人を結びつけるバインディングで不正ログインを防ぐ
本プランは、証券業界における不正ログイン対策を目的に、パスキーによるパスワードレスな生体認証と、スマホやPCと本人を結びつけるバインディングを組み合わせることで、不正ログイン対策を強固にするものです。
<パスキーについて>
パスキーとは、スマホやPCに登録された情報にもとづき「その人本人かどうか」を確認し、顔認証や指紋認証でログインできる仕組みです。画面ロック解除と同じ操作で使うことができ、IDやパスワードを入力しないため、利便性が高く、またフィッシングに強い点が特長です。
[画像3: https://prcdn.freetls.fastly.net/release_image/13861/223/13861-223-e1cc5954e3169f36f24ca0efabc2cd2e-1200x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
現状の多要素認証とパスキーによる認証の仕組み
<バインディングについて>
パスキーの初回登録や、端末買い換えなどで新しい端末で取引開始する際に、口座開設時に確認済みの氏名や生年月日、顔の情報などと、スマホの持ち主の情報が一致するかを確認します。不正な第三者が勝手に自身の端末でパスキーを登録し、不正利用を継続することを防ぎます。バインディングの方法は、ELEMENTSグループによる累計約1.3億件の本人確認実績を背景にした技術で、下記の2種類を提供します。
- 本人確認書類のICチップを読み取り運転免許証やマイナンバーカードに内蔵されたICチップから、氏名や生年月日、顔写真などの情報を読み取り、口座開設時に確認済みの情報と照合。
- 顔認証ユーザーによる自撮りの顔画像と、口座開設時に確認済みとして登録されている顔画像と照合。
[画像4: https://prcdn.freetls.fastly.net/release_image/13861/223/13861-223-1480f98fd754c1ec5f820d88d9ba01e6-1200x630.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
バインディングの必要性について
料金
パスキー 1ユーザー 1円/月(税抜)から
■株式会社Liquidについて
所在地:東京都中央区日本橋本町3-8-3 日本橋ライフサイエンスビルディング3 5階
代表者:代表取締役 長谷川 敬起
設立:2018年12月
事業内容:生体情報、生体行動に特化した画像解析・ビッグデータ解析(LIQUID eKYC、LIQUID Shield、LIQUID Auth等)
Webサイト: https://liquidinc.asia
サービスサイト:
身元確認サービス「LIQUID eKYC」https://liquidinc.asia/liquid-ekyc/
当人認証サービス「LIQUID Auth」https://liquidinc.asia/liquid-auth/
業界横断の顔画像による不正検知サービス「LIQUID Shield」https://liquidinc.asia/2024-03-19/
デジタルIDウォレット「PASS」 https://liquidinc.asia/smartcity/
外国人向けデジタルIDウォレット「GPASS」https://liquidinc.asia/gpass/
■株式会社ELEMENTSについて
所在地:東京都中央区日本橋本町3-8-3 日本橋ライフサイエンスビルディング3 5階
代表者:代表取締役会長 久田 康弘
代表取締役社長 長谷川 敬起
証券コード:東証グロース市場 5246
設立:2013年12月
事業内容:生体認証・画像解析・機械学習技術を活用した個人認証ソリューション、衣食住における個人最適 化ソリューション、個人情報を管理するクラウドサービスの開発・提供
Webサイト: https://elementsinc.jp/
※本プレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
