SBI証券の「デバイス認証」で同じ端末なのに毎回メール認証が必要だった

by

SBI証券の「デバイス認証」機能は、2025年5月31日から必須となりました1
基本的には一度認証コードを入力すればデバイス登録は完了するので、ふだんのログインでは意識しないで済みます。しかし、「なぜか同じ端末なのに認証コードが送られてくる」というケースも多くあります。

デバイス認証とCookie

デバイス認証」は、ログイン時に使用している端末を記録し、次回から認証を簡略化する機能です。
「パスキー認証」と似ていますが、異なる技術です。

デバイス認証 vs パスキー認証 デバイス認証 Cookie + フィンガープリント 技術基盤 • ブラウザCookie • 画面解像度・フォント • Canvas/WebGL識別 特徴 • 設定が簡単 • Cookie削除で無効化 90日で自動リセット セキュリティ 中程度 環境変化に影響されやすい パスキー認証 FIDO2/WebAuthn 技術基盤 • 生体認証 • 物理セキュリティキー • 公開鍵暗号化 特徴 • 高いセキュリティ • 端末固有認証 フィッシング攻撃に強い セキュリティ 高レベル 国際標準準拠
  • 「パスキー認証」は、FIDO2/WebAuthn標準に基づく生体認証や物理キーを使用する方式で、
  • 「デバイス認証」は、ブラウザのCookieやフィンガープリンティング技術を使用します2

このような多要素認証が2025年5月31日から必須化されたのは、証券口座への不正アクセス被害の増加を受け、FISC(金融情報システムセンター)の安全対策基準第9版に準拠したセキュリティが求められるようになったからです3

ブラウザが違うと「別の端末扱い」

「デバイス認証」は、一度認証を完了すると、同じ端末からのアクセス時にはワンタイムパスワードの入力が不要になります。
ところが、実際には「登録済み」のはずの端末でも認証コードの入力を求められることがあります。
これは、さまざまな理由でシステムが「この端末を知らない」と判断するためです。

デバイス認証とCookie 毎回認証が発生する5つの原因 Cookie 削除 プライベート モード 90日 経過 ネット 変化 パスワード 変更 技術的識別方法 Cookie + ブラウザフィンガープリント セキュリティ設定見直し アプリ経由アクセス

代表的なのはブラウザの違い。
Chrome、Safari、Firefox、Edgeなど、異なるブラウザを使用すると、それぞれで個別に認証が必要です。

この理由の第一は、SBI証券のシステムは、ブラウザのCookie(クッキー)に認証情報を保存しているからです4。Cookieとは、ウェブサイトがブラウザに保存する小さなデータファイルのことです。各ブラウザが独立したCookieストレージを持っているため、システムは別の端末として認識します。

また、プライベートブラウジング(シークレットモード)を使用すると、必ず認証コードの入力が求められます。プライベートブラウジングでは、Cookieが一時的にしか保存されないからです。ブラウザを閉じるとすべての情報が削除されるため、次回アクセス時には新しい端末として扱われてしまうのです。

プライバシー機能でCookieが自動削除される

また、スマートフォンには、プライバシー保護のためにCookieを自動的に削除する仕組みがいくつかあります。ユーザーが意図していなくても、定期的にCookieがクリアされている可能性があるのです。

  • ブラウザの設定で「終了時にCookieを削除」を無効にします。
    または、SBI証券のサイトを「信頼できるサイト」として登録することも有効です。
  • セキュリティソフトでCookieの自動削除機能を無効にすると、認証頻度を減らせます。
    ただし、プライバシー保護機能が低下する点に注意が必要です。

たとえば、多くのセキュリティソフトでは、ウイルス対策ソフトの設定で「プライバシー保護」や「履歴削除」が有効になっています。また、ブラウザの設定で「終了時にCookieを削除」が有効になっていると、ブラウザを閉じるたびに認証情報が消去されてしまいます。

パスワード変更や時間経過による再確認

ウェブサイト上でパスワードを変更すると、セキュリティ上の理由ですべてのデバイス認証がリセットされます。これは、不正アクセスによるパスワード変更の可能性を考慮した措置です。

また、SBI証券のシステムでは、最後の認証から90日が経過すると、自動的にデバイス登録がリセットされます5。この期間を過ぎると、再度認証が必要になります。

スマートフォンでモバイル回線とWi-Fiを切り替えた場合には、ネットワーク環境の変化として検知される可能性があります。また、自宅、職場、公共Wi-Fiなど、ふだんと異なるネットワークからアクセスすると、追加の認証が求められることがあります。IPアドレスの変化だけで即座に認証が無効になるわけではありませんが、IPアドレスが大きく変わると、システムは「普段と違う場所からのアクセス」として警戒することがあるのです。

【補足】端末を区別するブラウザフィンガープリンティング技術

SBI証券が端末識別に使う情報は、Cookieだけではありません。
ブラウザフィンガープリンティング」という技術も使用しています6。これは、ブラウザの設定や端末の特徴を組み合わせて、端末を識別する方法です。

A ブラウザフィンガープリント技術 画面解像度 フォント ブラウザ 言語設定 Canvas/WebGL識別 グラフィック処理の微細な差で端末を特定 精度:約80〜90%

具体的には、以下の情報を収集します。

  • 画面の解像度
  • インストールされているフォント
  • ブラウザの種類とバージョン
  • プラグインの種類
  • タイムゾーン設定
  • 言語設定

Canvas/WebGLレンダリングによる端末識別

さらに高度な識別技術として、Canvas(キャンバス)やWebGLというウェブ技術を使用した端末識別があります。実は、同じ画像を描画させても、グラフィックカードやドライバーの違いにより、微細な差が生じます。この差を利用すると、約80-90%の精度で端末を特定できるのです7。指紋のように、各端末固有の特徴を持つことから「フィンガープリンティング」と呼ばれています。

SBI証券の株アプリはデバイス認証の対象外

興味深いことに、SBI証券の株アプリはデバイス認証の対象外になっています8。具体的には、アプリ→メニュー→サイトへ→スマホサイト→PCサイトという流れで、株アプリ経由でサイトにアクセスすると、多要素認証を回避できてしまうのです。

! 株アプリはデバイス認証対象外 Web版 認証必須 VS アプリ版 認証回避可 アプリ→メニュー→サイトへ→スマホサイト→PCサイト セキュリティ対策の一貫性に課題

これについては、セキュリティ上の懸念が指摘されています。ウェブ版では厳格なデバイス認証が必要な一方、アプリ版では回避できるため、セキュリティ対策の一貫性に問題があるというのです。

SBI証券のデバイス認証で頻繁な認証が発生する主な原因は、Cookie削除、プライベートブラウジング使用、ネットワーク環境変化、90日経過ルール、パスワード変更時のリセットです。システムは多層防御として、Cookie管理、ブラウザフィンガープリンティング技術、ネットワーク情報分析を組み合わせて端末識別を行っています。

  1. デバイス認証もしくはFIDO認証のいずれかが設定されていない場合、電話番号認証が適用されます。 – 【重要】SBI証券のデバイス認証およびFIDO認証の必須化に関するお願い
  2. SBI証券では両方の認証方式が利用可能です。 – デバイス認証サービスの登録方法を教えてください。
  3. FISCは、金融機関の情報システムに関する安全対策基準を策定している機関です。 – セキュリティの基本とFISC安全対策基準について
  4. 正確には、セッションIDや認証トークンなどの識別情報がCookieに保存されます。 – 【デバイス認証サービス】認証済のデバイスからログインしているが、認証に必要なメッセージが表示されるのはなぜですか?
  5. この90日ルールは、長期間使用されていないデバイスのセキュリティリスクを軽減するための措置です。 – 【デバイス認証サービス】認証済のデバイスからログインしているが、認証に必要なメッセージが表示されるのはなぜですか?
  6. ブラウザフィンガープリンティングは、ブラウザの設定、インストールされたプラグイン、フォント、画面解像度などの情報を組み合わせてデバイスを識別する技術です。 – Web Browser Fingerprint解説ページ
  7. Canvas fingerprintingでは、同じHTML5 Canvasコードでも、グラフィックカードやドライバーの違いにより異なる画像が生成されることを利用します。 – ブラウザーフィンガープリント
  8. スマートフォンアプリ版では、アプリ固有の認証システムが使用されており、ウェブ版のデバイス認証とは独立しています。 – SBI証券デバイス認証しないとどうなる?設定方法やさしく解説