今年は、証券会社などになりすましたメールで偽サイトに誘導する「フィッシング詐欺」が深刻な社会問題となりました。

ニュースなどで見聞きする機会が増え、ご自身のセキュリティに不安を感じた人も多いのではないでしょうか。こうした被害を防ぐため、多くの証券会社では新たな技術の導入を進めています。

今回は、企業が進めている対策と、ご自身でもすぐに取り組めることについてお伝えします。

■フィッシング詐欺から資産を守る！ 多要素認証とは

フィッシング詐欺は、受信した「なりすましメール」の中のリンクをクリック、またはタップさせて偽サイトへと誘い込み、そこで入力したIDやパスワードなどの重要な情報を盗み出す詐欺のことです。仮に、資産運用サービスのIDやパスワードを盗まれたとしたら、口座を乗っ取られ、最終的には大事な資産を失ってしまうおそれがあります。

被害にあわないために、今すぐご自身でできることの1つとして挙げられるのが、メールとの向き合い方です。例えば、心当たりのないメールは開かないことや、偽サイトに誘導されないためにメール内のリンクをむやみに開かないことなどがあります。公式サイトやアプリなど、信頼できる手段からログインする習慣をつけることも大切です。

ただ、「なりすましメール」かどうかを見分けることはとても難しいのが現状です。最近は、生成AIの活用によって自然な日本語の文章を作ることが容易になっています。そのため、これまで以上になりすましと判断しにくいメールが増えており、注意する必要があるのです。

各証券会社では、仮に偽サイトに誘導されてIDとパスワードを盗まれたとしても、すぐに口座を乗っ取られることがないよう、多要素認証の導入を進めてきました。多要素認証とは、複数の情報を組み合わせて本人確認をする仕組みのことです。例えば、IDとパスワードを入力すると、登録したメールアドレスなどに「認証コード」が送られ、これを入力することで本人であることを重ねて確認する方法などがあります。

■「パスキー」の設定でさらにセキュリティを高めよう

ただ、最近は、本物そっくりの偽サイトでIDとパスワードを盗んだ上で、メールやSMSで送られてくるワンタイムパスワードまでも盗み出す「リアルタイム・フィッシング」というさらに巧妙な手口も増えています。

そこで、各証券会社がよりフィッシング詐欺への耐性を高めるため、次世代の認証方法として必須化を進めているのが「パスキー」です。

パスキーは、ご自身のスマートフォンやPCなどの所持情報と、顔や指紋といった生体情報などを組み合わせて本人確認をする仕組みのことです。正規のウェブサイトやアプリにしか反応しないという特性があるため、「リアルタイム・フィッシング」などの新たな手口にも有効とされています。

ご自身が利用しているサービスがパスキーを導入したら、ぜひ設定することをおすすめします。

■パスワードも見直しを 面倒くさがらずできることから

とはいえ、パスワードのみの入力で本人確認をするサービスは、まだ多くあります。資産運用サービスに限らず、ショッピングサイトなどでも、IDとパスワードを盗まれることで不正ログインや金銭的な被害に遭うおそれはあるでしょう。

そこで、検討してほしいのがパスワードの見直しです。大小の英字や数字、記号などできるだけ多くの文字種を用いて、文字数はできるだけ長くすることがのぞましいです。15文字以上にすることを推奨しているガイドラインもあります。また、同じ文字や数字を繰り返したり、名前や誕生日を使用したりすることは避け、推測でパスワードが割り出されないようにしましょう。

さらに、パスワードの管理方法も、見直してみてください。自分の記憶に頼らずに安全にパスワードを管理するには、複数のアカウントやサービスのパスワードを一元管理できる「パスワードマネージャー」の利用がおすすめです。「新しいサービスを使うのはちょっと…」という人は、勤め先などに関係のない個人利用のサービスに限り、他人が見る可能性がゼロに近いものにメモすることも1つの方法です。

ただし、どの方法で管理する場合でも、データを紛失するリスクがゼロだとは言い切れません。管理方法の見直しができたら、もしもの時に備えたバックアップについても考えるようにしましょう。

ここまで、自分の資産を守るためにできることを取り上げてきましたが、「自分は被害に遭わない」と思っている人もいるのではないでしょうか。

パスワードの見直しなどの対策は、正直、面倒に思えるかもしれません。ただ、後回しにすることでご自身の大切な資産や情報が奪われてしまったら、後悔してもしきれません。

「自分の資産や情報は自分で守る」という意識を持ち、できることから取り組んでみましょう。