認証3回失敗で口座をロック──楽天証券、ログイン認証の仕様をさらに厳格化

楽天証券は5月13日、トレーディングアプリ「マーケットスピード」などを含む全てのサービスログイン時に使用する「ログイン追加認証（多要素認証）」の仕様を変更すると明らかにした。セキュリティ強化のため、認証に3回失敗すると口座をロックする。 仕様変更のポイントは、1）発行された認証コードは1回ログインに失敗すると無効になる、2）連続で3回認証に失敗した場合、口座をロックする、というもの。急増しているネット証券口座への不正アクセス・不正取引被害への対策として、より条件を厳しくした。 同社のログイン追加認証は、図柄を使ったワンタイムパスワードをユーザーにメールで送信する形の二要素認証だ。数百ある図柄の中からシステムが8つの“候補”を提示し、ユーザーがその中から選択する仕組みで、仮にフィッシングサイトが似たものを作っても2つの正解を含む候補を提示できる可能性は低いという。 楽天証券は、トレーディング

[tenari]

不正アクセス者が認証失敗しまくって大規模口座ロック発生→取引できずに金銭損失拡大 みたいにならないんだろうか。

[butyricacid]

不正取引を狙う者は、大量のアカウントをロックさせてでも少数のアカウントが突破できれば目的を達せられるので、この仕様はダメなのでは

[Fushihara]

こっちで1passwordで管理するから余計なことせずにOTPにしてくれ

[thekoruku]

なんでこんなに独自のセキュリティに拘るんだろう

[tanakakazu]

リトライの回数に制限がなくて、10枚の絵から2枚選ぶだけだから数分で突破できて二段階認証の意味がないって騒がれて対応。仕様のレビューとかテスト段階でだれか指摘できなかったのかって感じのバグ。

[b-wind]

フィッシングサイト側が選択肢を真似できないという説明で絵柄のマッチングにしてるのはアホなのでは。

[yellowdomestic]

事実上メールがセキュリティの生命線になってきてるなぁ　特に何故かTOTPを実装したがらない日本のサービス

[felick]

フィッシングした情報で本物のサイトでログイン試行して、その絵柄をフィッシングサイトで表示したらログインできるのでは？まあこれはTOTPも同じ欠点だけどね。パスキー実装しろ

[enemyoffreedom]

もっと標準的なパスキーやTOTP使おうぜ

[augsUK]

ユーザーも絵柄を知らないのだから、フィッシングサイトはテキトーな絵柄を8つ提示して2つ選ばせれば機能するのでは？

[Goldenduck]

銀行の認証はまともなのに証券になると途端に意味不明なのどうしてなの。2段階認証すら必須でなかったし

[sds-page]

メアド乗っ取られたことあるからなー。メアドのIDとPASS漏れてたら全スルーじゃん

[ton-boo]

口座ロックDoSが捗りそうな改悪しないで

[eroyama]

顧客はパソコンの先生では無い（というかお年寄が1番取りたい顧客）から、OTP生成機やパスキーを入れさせるのはハードルが高いのだろうね　／ログイン試行後に証券会社が送るメールにログインURL乗せればいいのでは

[daybeforeyesterday]

うーむ

[kuracom]

まず緊急対策という感じで、一般的なOTPは開発中かもしれない。楽天銀行も後付け感が凄い独特なOTPよね。

[hayasinonakanozou]

取引パス4桁をもっと多い桁数に早く変えてくれ

[hagane]

馬鹿なのかな

[acealpha]

証券会社がろくにセキュリティ知らなかったという事実が恐ろしいし、未だ何が悪いかわかってないのがもっと恐ろしい

[manaten]

多分証券口座持ってる人の中には想像を絶するITオンチのおじいちゃんとかいるから、なかなかちゃんとしたセキュリティを実装できないんだろうと想像してる。絵柄の二段階認証とかそれじゃん

[GARAPON]

今までやり放題だったからなー

[harumomo2006]

ロックされたらどうやって復元させるんだろう

[atsushieno]

極めて劣悪なUXによるセキュリティの問題がユーザーに押し付けられるサービス、使ってなくて良かった。他山の石にする。

[yamadar]

「図柄を使ったワンタイムパスワードをユーザーにメールで送信する形の二要素認証」TOTPでもフィッシングサイト経由でワンタイム認証が突破されることも想定してるのか。

[ryouchi]

むしろ今までやってなかったんかいってところにニュースバリューがあるんやろな “セキュリティ強化のため、認証に3回失敗すると口座をロックする。”

[advancive61]

ロックされそうだから全部売って他所に移ろう

[minboo]

ポイントサイト見ると、楽天証券やSBI証券がいままでにない高還元のキャンペーンをやってる

[ls-ltr]

絵文字OTP、フィッシングサイトが模倣されにくい(リアルタイムフィッシングには効果薄い)のでスクリプトキディングには　若干効果ある？ふーんぐらいの所感。ロックアウトの件はセキュリティの可用性を軽視では？

[ot2sy39]

大量不正アクセスなんて、脆弱性か、パスワードリスト漏れかどちらか。パス不明な状況で繰り返し試行してるのか、漏れたパスで入られてるかはすぐ分かるはずで、前者と言ってないので、後者だとほぼ確信してる。

[interferobserver]

これまでロック機能がなく無限回試行できたってこと？そんでロック機能追加しても3.3%の確率で突破できるわけか。

[dorje2009]

フィッシング対策ならパスキー導入しましょ

[gewaa]

まずID・パスワードが正しく揃ってなければログイン追加認証まで進めないし、そんな情報漏らした人は口座ロックされても仕方ないでしょ。ロック解除はコールセンターに電話。

[leiqunni]

これって知らない人の口座をロックしまくれちゃうの？

[su_rusumi]

「こちらは楽天証券です。あなたの証券口座はロックされました。解除する場合はこちらをクリック」という詐欺メールが来るんだろうな。他人の口座を実際にロックするのは簡単だし

[shikiarai]

英語で最新のセキュリティの常識でも調べたらどうなんだ

[osrk]

短期間でできることとしてはこのくらいでは。ログイン方法を変えるとなると、実装だけじゃなくて周知と移行の時間が必要になる。それに、この結果攻撃でロックされちゃう人って、IDとパスが漏れちゃってるってことで

[grusonii]

参考までに楽天が導入してるのはどこぞのベンチャーのSuperOTPと言う製品。 https://www.bkguard.com/

[poi_nichijo]

やることがズレすぎでは？？

[komo-z]

そこまでやらなきゃいけないほど犯罪被害が深刻なのか‥

[nanocreativelab]

いや普通に登録した携帯番号に6桁番号送れよ　無駄にシステムつくるな