なぜ“タイムアタック”認証に?
では、なぜこのような方式が採用されたのだろうか。背景にあるのは「リアルタイムフィッシング詐欺」対策だった。
「リアルタイムフィッシング詐欺」とは、ユーザーの認証情報をリアルタイムで盗み取り、その場で悪用する巧妙な手口だ。
攻撃者は、偽メールなどでユーザーをフィッシングサイトへ誘導し、ユーザーが入力した「ID・パスワード」を入手。偽のサイトでは「認証中」などと表示しユーザーを待たせ、その隙に正規のサイトへ盗み取った情報を入力する。ユーザーには2段階認証のための「ワンタイムパスワード」が送られてくるが、攻撃者は偽の認証画面に入力された「ワンタイムパスワード」も即座に奪い、不正アクセスを行う。
これを防ぐため、新方式では認証コードを送信せず、正規のサイトに表示。企業ロゴ付きの公式メールで「認証コードの入力画面のURL」を送信することで、偽サイトへの入力を回避できる仕組みだ。これにより、登録メールアドレスの持ち主だけが認証される。
SBI証券は「メール遅延は、お盆休みでメールサーバーへのアクセスが集中したことが原因とみられ、8月13日の午前に解消した」と説明。
40秒という時間設定については「『短い』というお客様の声は届いている。一方で、犯人グループはいろいろな方法で不正なアクセスを試みる。何が起きるかわからないというリスクも考慮しながら、今後の対応を日々確認している」としている。
証券会社が損失補填…なぜ?
