「40秒って短すぎる!まるでタイムアタックだ」「メール届くのが遅くて、待ってる間にタイムアウト…」
今年に入り相次いでいる、証券口座の乗っ取り事件。8月7日の金融庁の発表によると、不正アクセスによる売買総額(1月〜7月)は約6200億円に上っている。証券会社は対応策としてログインや認証を厳しくするなどの対応をしているが、厳しくなりすぎてシステムに入れなくなる人も出ている。
SBI証券はセキュリティ強化のため、8月9日からデバイス認証の方法を変更した。新方式では、サイトにログインする際に、認証コードが正規サイト上に表示される。同時に、送られてくるメールに記載されたURLから別ウィンドウで入力画面を開き、サイトに表示されたコードを入力。さらに、メインサイトに戻ってデバイス登録を行うという流れだ。
認証コードの表示時間はわずか“40秒”。40秒経過すると新しい認証コードに更新される。更新は最大5回までで、与えられた時間は1回あたり最大で40秒×5回の“200秒”である。
この一連の作業を200秒以内に完了させられないユーザーが続出したほか、そもそも時間内にURLが記載されたメールが届かず、コード入力ができないケースも相次いだため、SBI証券には問い合わせが殺到した。
なぜ“タイムアタック”認証に?
