オンライン証券の複雑すぎるログイン
(3~4段階認証の常態化)

by

最近、オンライン証券にログインしようとして驚きました。ID・パスワードを入れても、それで終わりではないのです。メールを開いて認証コードを確認し、それを入力する。場合によっては電話をかける必要もあります。「本人確認なのに、こんなに何度も確認が必要なのか」と疑問に思いました。

実は、2025年に入ってから証券口座の不正アクセス被害が急増し、それをきっかけに各社が次々と認証を強化しています。しかし、その結果として生まれたのは、統一性のない複雑な認証システムでした。

この記事では、実際にウェブで情報を調べながら、現在のオンライン証券のログイン認証がどれほど複雑になっているのかを整理しました。

関連記事

1. 2025年春、何が起きたのか

1.1. 被害の規模

2025年2月から、証券口座の不正アクセスによる被害が急増しました。金融庁の発表によると、2025年1月から7月までの間に:

  • 不正アクセス件数:14,069件
  • 不正取引件数:8,111件
  • 被害総額:約6,200億円

たった半年で6,200億円です。これは個人の資産が狙われたという点で、極めて深刻な事態でした。

1.2. テスタ氏の事件

被害が注目されるきっかけとなったのは、著名な個人投資家テスタ氏の報告でした。氏は市場が開く前にデバイス確認メールに気づき、すぐに口座をロックしました。プロの投資家だからこそ気づけた不正アクセスです。

通常の投資家なら、デバイス確認メールを見逃すか、あるいは「自分がログインしたのだから当然だ」と思い込んでしまうかもしれません。実際、知らない間に口座が乗っ取られ、勝手に株を売買されていた被害者が多数いました。

1.3. 犯罪の手口

犯罪組織は、乗っ取った口座を使って流動性の低い小型株を大量に購入していました。これは株価操縦です。事前にその株を保有しておき、価格をつり上げたところで売却して利益を得る手法です。

攻撃の手段は主に2つでした。

フィッシング詐欺:証券会社を装った偽のメールやSMSを送り、偽サイトに誘導します。本物そっくりのログイン画面でID・パスワードを入力させ、情報を盗み取ります。

マルウェア(インフォスティーラー):パソコンやスマホに感染するウイルスです。ブラウザに保存されているすべてのログイン情報を密かに盗み出します。証券口座だけでなく、クレジットカード情報なども被害に遭います。

2. 業界の対応――多要素認証の必須化

2.1. 金融庁と日本証券業協会の動き

この事態を受けて、金融庁と日本証券業協会は2025年7月15日、監督指針とガイドラインを改正しました。その核心は「多要素認証の必須化」です。

多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる方法です。

  • 知識情報:パスワードなど、本人が知っている情報
  • 所持情報:スマホなど、本人が持っている機器
  • 生体情報:指紋や顔など、本人の身体的特徴

2.2. 証券会社の必須化状況

2025年4月25日時点で、ネット取引を提供する94社のうち58社が多要素認証の必須化を決定しました。7月7日には79社に拡大しています。大手10社(野村、大和、SMBC日興、三菱UFJモルガン・スタンレー、みずほの対面大手5社と、SBI、楽天、マネックス、松井、auカブコムのネット大手5社)はすべて必須化しました。

3. 認証方法の種類と特徴

現在、オンライン証券で使われている認証方法を整理しました。

認証方法を組み合わせて補強する 電話認証 電話をかけられる メール認証 メールを受信できる SMS認証 メッセージが読める 認証アプリ アプリを開ける 絵文字認証 メール認証の一種 リスクベース ふだんと同じ通信環境か? パスキー スマホと生体認証 ID/パスワード認証 合言葉を覚えている 秘密の質問 合言葉を覚えている

3.1. メール認証

登録メールアドレスにワンタイムパスワードや認証コードを送信します。ユーザーはそれを入力してログインします。

メリット:実装が簡単で、導入コストが低い

デメリット:メールアドレスが古くて使えない場合、ログインできません。また、リアルタイムフィッシングで突破される可能性があります。

3.2. SMS認証

携帯電話番号にSMSで認証番号を送信します。ユーザーはそれを入力します。

メリット:携帯電話という所持情報を使うため、メール認証より安全

デメリット:携帯電話の電波状況に左右されます。海外では受信できない場合があります。また、SIMスワップ攻撃(携帯電話番号を乗っ取る手口)のリスクがあります。

3.3. 電話番号認証

指定のフリーダイヤルに電話をかけて本人確認します。

メリット:実際に電話をかけられることを確認できる

デメリット:毎回電話をかける必要があり、手間がかかります。外出先や会議中など、電話をかけにくい状況ではログインできません。

3.4. 認証アプリ(TOTP)

Google Authenticatorなどのアプリでワンタイムパスワードを生成します。

メリット:ネットワークに依存しないため、オフラインでも使えます

デメリット:アプリのインストールと初期設定が必要です。スマホを機種変更する際の移行が面倒です。

3.5. 絵文字認証(楽天証券独自)

メールで送られた絵文字の画像を、画面上で順番通りに選択します。

メリット:視覚的で覚えやすい(かもしれない)

デメリット:メールを開く手間は変わりません。15種類から4つを順番通りに選ぶのは、慣れないと難しいです。

3.6. リスクベース認証

システムが不審なアクセスを自動検知し、追加認証を要求します。

メリット:普段と同じ環境なら追加認証は不要

デメリット:旅行先や新しいデバイスからログインすると、必ず追加認証が発動します。その際、電話やSMSが使えないとログインできません。

3.7. パスキー(FIDO2)

生体認証(指紋・顔認証)を使った最新の認証方式です。

メリット:フィッシング耐性があります。パスワード漏洩のリスクがありません。ログインがスムーズです。

デメリット:実装コストが高く、現時点で導入している証券会社は少数です。楽天証券は2025年10月から導入予定、松井証券やマネックス証券は検討中です。

4. 実際のログイン手順――3~4段階の認証

では、実際にログインするとどうなるのでしょうか。各社の公式情報を調べると、想像以上に複雑でした。

4.1. 楽天証券の例(最大4段階)

楽天証券では、以下の手順でログインします。

第1段階:基本認証

ログインIDとパスワードを入力します。ここまでは従来と同じです。

第2段階:絵文字認証

メールで送られてきた絵文字の画像を、画面上で順番通りに4種類選択します。2025年6月8日からは、絵文字10種類と数字5種類の計15種類から4つを選ぶ仕様になりました。

メールを開いて確認する必要があるため、スマホとパソコンを併用していると、パソコンでログインしようとしてもスマホでメールを確認しなければなりません。

第3段階:リスクベース認証(不審時)

システムが「いつもと違う」と判定した場合、さらに追加の認証が求められます。

  • フリーダイヤル認証:指定の番号に電話をかける
  • SMS認証:携帯電話にSMSで送られた認証番号を入力

外出先から固定電話番号を使って認証することはできません。また、海外にいて国内の電話番号が使えない場合、ログインできなくなります。

第4段階:ログイン通知メール

ログインが完了すると、登録メールアドレスに通知が届きます。これは事後確認用です。

5. なぜ「屋上屋を架す」のか

「屋上屋を架す」とは、無駄を重ねることを意味する言葉です。今回のオンライン証券の認証強化は、まさにこの状態だと感じました。

5.1. 本来の目的と現実のずれ

認証の本来の目的は「本人であることを確認する」ことです。それなのに、3~4段階もの手続きが必要になっています。しかも、各社がバラバラに実装しているため、統一性がありません。

複数の証券口座を持っているユーザーは、それぞれ異なる手順を覚えなければなりません。楽天証券では絵文字を選び、松井証券では電話をかけ、マネックス証券では認証アプリを開く。これは明らかに過剰です。

5.2. 不正アクセス補償の責任回避

なぜこうなったのでしょうか。一つの理由は、証券会社が不正アクセスによる損害の補償責任を避けようとしているからだと推測されます。

松井証券の公式サイトには、こう書かれています:

万が一、「電話番号認証」を設定されていない状態で不正アクセスによる損失が発生した場合、補償を行わない可能性があります。

つまり、多要素認証を設定していないと補償されないかもしれないのです。証券会社は「セキュリティ対策を提供した」という証拠を作るために、複数の認証手段を用意し、それを必須化しています。

5.3. 急いで作ったシステムの弊害

もう一つの理由は、性急な対応です。2025年春に被害が急増したため、各社は一刻も早く対策を講じる必要がありました。その結果、システムを精査して統一的に設計するのではなく、既存のシステムに認証を「追加」する形になりました。

パスキーのような新しい技術は実装に時間がかかります。そのため、まずはすぐに導入できるメール認証やSMS認証を必須化しました。しかし、これらは後述するように、フィッシング詐欺に対して完全に安全ではありません。

6. ユーザーが直面する問題

実際にユーザーはどんな問題に直面しているのでしょうか。SNSや質問サイトの声を調べました。

6.1. 高齢者には困難

ある投稿者は「70代の親に証券口座の多要素認証を設定させようとした結果、想像を絶する地獄だった」と述べています。

具体的には:

  • 古いメールアドレスが登録されていて使えない
  • メールアドレスを変更するために、その古いメールアドレスへの認証コードが必要
  • 支店番号・口座番号・生年月日をすべて入力しなければならない
  • 認証コードにアルファベットの大文字が含まれていると、入力方法がわからない
  • 全角と半角の違いがわからず、何度入力してもエラーになる

高齢者だけでなく、ITに不慣れな人にとっては、多要素認証の設定自体が大きなハードルです。

6.2. 相場が動く中での認証

株取引では、タイミングが重要です。しかし、ログインに3~4段階の認証が必要だと、その間に相場が動いてしまいます。

「楽天証券のメールでの2段階認証が面倒すぎる」という質問がYahoo!ファイナンスに投稿されていました。多くのユーザーが同じように感じています。

日本経済新聞の記事によると、「多要素認証の必須化は不便だとの声がSNSなどで上がっている」とのことです。日本証券業協会は「ログイン時の多要素認証であれば、取引執行時でなく、迅速性が失われるわけではない」と説明していますが、ユーザーの実感とは異なります。

6.3. 資産管理アプリとの連携不可

多くの投資家は、複数の証券口座を一元管理するために、資産管理アプリ(マネーフォワードME、カビュウなど)を使っています。しかし、多要素認証が必須化されると、これらのアプリが自動でログインできなくなります。

楽天証券のFAQには、こう書かれています:

資産管理ソフトではログインIDとログインPWを用いてお客様に代わりログインし残高情報を取得し更新しています。そのため、ログイン追加認証を「利用する」にしている場合、資産管理ソフトがログインの代理操作を行うため、認証メールが届きます。ただし認証メールの情報は資産管理ソフトにないため、ログインできず残高情報の更新も行われません。

つまり、自動更新が使えなくなるのです。手動で更新する場合も、毎回多要素認証が必要です。

6.4. 問い合わせの増加とコスト

証券会社にとっても、多要素認証の導入は負担です。日本経済新聞のアンケート調査(15社回答)によると、最も深刻な課題は「多要素認証の設定方法などに関する問い合わせに対応する手間やコストが増えている」でした。5社がこれを選択しています。

また、「高齢のユーザーが多く、システムに対する理解や操作方法の習熟などに課題がある」と回答した企業もありました。

7. 現在の多要素認証の限界

多要素認証を導入すれば安全なのでしょうか。実は、そうとも言えません。

7.1. リアルタイムフィッシングの脅威

現在主流のメール認証やSMS認証は、「リアルタイムフィッシング」という攻撃手法で突破されます。

リアルタイムフィッシングとは、ユーザーが偽サイトに入力した情報を、攻撃者が即座に本物のサイトに入力する手法です。

  1. ユーザーが偽サイトにID・パスワードを入力
  2. 攻撃者がそれを使って本物のサイトにログインを試みる
  3. 本物のサイトがユーザーにワンタイムパスワードを送信
  4. ユーザーがそれを偽サイトに入力
  5. 攻撃者がそれを使って本物のサイトにログイン成功

このように、ワンタイムパスワードであっても、リアルタイムに中継されてしまえば意味がありません。日本経済新聞の記事でも、トレンドマイクロの専門家が「ワンタイムパスワードを使う多要素認証は、リアルタイムフィッシングで破られる恐れがある」と指摘しています。

7.2. パスキーの必要性

リアルタイムフィッシングを防ぐには、パスキー(FIDO2)が必要です。パスキーには「オリジンへのバインディング」という仕組みがあります。これは、ログイン先のドメインが正しいかどうかを自動的に確認する機能です。

偽サイトにアクセスした場合、ドメインが本物と異なるため、パスキーは動作しません。したがって、フィッシング詐欺に対して耐性があります。

しかし、パスキーの実装には数億円のコストがかかります。大手証券会社は導入を進めていますが、中小証券会社にとっては大きな負担です。ある中堅証券の幹部は「自社での対応だけではネット取引の継続は困難だ」と述べています。

8. 今後の方向性

金融庁と日本証券業協会は、2025年7月15日に「フィッシングに耐性のある多要素認証」の必須化を盛り込んだ指針を公表しました。具体的には、パスキーやPKI(公開鍵暗号基盤)といった高度な認証方式の採用を求めています。

しかし、実装には時間がかかります。現時点で対応済みの証券会社は一部です。

一方、金融庁のデータによると、多要素認証の導入が進んだ2025年6月には、不正取引件数が783件とピークだった4月の2,932件から減少しました。一定の効果は出ています。

ただし、被害を受けた証券会社の数は増えており、犯罪組織の標的は中堅・中小の証券会社に移っていると見られます。

9. まとめ

オンライン証券のログイン認証は、2025年の不正アクセス被害をきっかけに大きく変わりました。
多要素認証の必須化により、ログインには3~4段階の手続きが必要になっています。

これは「本人確認」という本来の目的からすれば、明らかに過剰です。
各社がバラバラに実装しているため、ユーザーは複数の証券口座ごとに異なる手順を覚えなければなりません。
高齢者やITに不慣れな人にとっては、大きな障壁です。

しかも、現在主流のメール認証やSMS認証は、リアルタイムフィッシングで突破される可能性があります。
本質的なセキュリティ向上にはパスキーの導入が必要ですが、コストの問題で実装が遅れています。

これは、システムを精査して統一的に設計するのではなく、性急に対策を重ねた結果です。
まさに「屋上屋を架す」状態と言えます。

ユーザーにとっては、利便性が大きく損なわれました。証券会社にとっても、問い合わせ対応のコスト増加という負担があります。
セキュリティと利便性のバランスをどう取るのか。これは今後も続く課題です。