証券口座乗っ取り対策

０．基本的態度

• 全て疑う。自分の常識も。もちろん家族にも触らせない
• 肩越しに誰かに見られているつもりで。手元を隠す。機微情報を漫然と表示し続けない
• パスワードはユニークに。個々のサイト、用途（ログイン、取引）で使い分け
• ブラウザに覚えさせ過ぎない。手で全桁入力しない。例、パスワード半分はブラウザに、残りは手入力、等。パスワード管理ツールも
• 用途別に専用環境を。例、金銭取扱、メール、SNS、その他ネット散策…それぞれ出来れば専用端末。最低でもブラウザは別々に。仮想化（VMWare, VirtualBox等）も良い
• ＯＳ、ソフト、アプリは定期的にアップデートを。休場日にルーチンワーク
• ウイルススキャンも定期的に
• アプリの数だけリスクは増える。飲食店・小売店の値引きアプリ導入もなるべく避ける
• 席を離れる時は最低でも画面ロック（自宅）。できれば電源オフ
• フリーWi-Fi、公共Wi-Fi（含、ホテル）を避ける。またはVPN経由で。複数DNSの結果照合など十分納得できてから。生身で導入・更新はしない

１．SBI証券

1-1. デバイス認証とFIDO認証、共に有効化 

スマホを使わなくてもFIDO認証設定すべき

1-2. 電話でスマホアプリへのログインを不可に設定依頼

SBIテクニカルサポート 0570-010-702 
※電話のみの裏メニュー（投稿日現在） 
※FIDO認証も色々教わった。 

1-3. 総合口座へのログイン一時利用停止設定を実施

２．楽天証券

2-1. 二段階認証を設定

2-2. 電話で口座にアカウントロックを設定

(1)準備：口座情報を控えておく 
　a.部店番号口座番号（参照、ログイン後左肩の表示）
　b.ログインID（下4桁）
(2)アカウントロック設定操作 
　電話（0120-852-638）して、案内の通りに
　※積立タイミングで解除必要

出典

下記YouTuberさんの念入りな調査や、フォロワーさんのアイデア追加により、丁寧で実践的な内容（↓）。上記１、２に骨子を引用させてもらいました。

• 【不正アクセス対策】SBI証券の新セキュリティ「ログイン一時停止機能」を試してみた！NISA積立民は要チェック！注意点も解説【口座乗っ取り】デバイス認証・FIDO認証・オルカン・S&P500  (05/10)
• 【被害拡大中】2段階認証やアカウントロックだけじゃ資産を守れません！　楽天証券に潜む"抜け穴の構造 【証券口座乗っ取り被害】オルカン・S&P500・ナスダック100・新NISA (05/07)
• 【続報】楽天証券が神対応！抜け穴ふさぐセキュリティ強化＆知られざる最強設定【不正アクセス問題】オルカン・S&P500・ナスダック100・新NISA (04/12)

関連

本人確認が甘かった…証券「口座乗っ取り」10社が補償拒否から一変、セキュリティとのバランスを見誤った業界の落ち度(東洋経済オンライン)  (05/08)

『・・・以下の対策はが考えられる。

・メールソフトやセキュリティソフトの機能によるフィッシング詐欺やメール詐欺の対策

・ログイン情報を入力する画面では、その真偽に注意を払う(フィッシング対策)

・2FAやデバイス認証を有効にして、取引、送金処理は最初のログインだけでできないようにする

・2FAやデバイス認証では、認証アプリやパスキー(FIDO 2)といった方式を利用する

・トレーディングツールやサードパーティアプリ、サイトを経由してのログイン設定の見直しまたは解除

』

楽天証券、“絵文字”による「多要素認証」必須化　6月から　“裏口”のセキュリティ対策も - ITmedia NEWS　（05/07）

　ツール・アプリの数だけリスクも増えると思う。だから口座開設～売買の一連の取引を、ＰＣ／スマホいずれかで完結できるよう望む。

　「旧バージョンは6月7日以降利用できなくなる」との事。その仕掛けは、スマホアプリからサーバに自動申告されるバージョン情報だったりしないのか? その場合、ID・パスワードを何らかの手段で取得した悪意の第三者は、自作アプリで偽のバージョン情報を申告し、以降の認証をスキップし続ける事が可能だったりするのでは? と心配になった。第三者の検証・監査レポート公開を望む。