不正ログインやフィッシング詐欺の高度化に対応するため、野村證券株式会社はオンライン取引の安全性を高める複数の対策を進めています。次世代認証であるパスキー認証の導入により、ログインIDやパスワードの入力を不要とし、端末内に保存されるパスキーと生体認証やPINを組み合わせて本人確認を行います。これによりパスワード詐取リスクや入力時の盗み見を軽減し、利便性と安全性を両立できます。さらに、同社は不正アクセスのモニタリングを実施し、普段と異なる端末や回線からのアクセスを検知した場合にはリスクに応じた追加認証を求めます。電子メールについてはBIMIの導入により、対応するメールクライアントではNOMURAロゴが表示され、正規メールの判別を支援します。SMSでも通信キャリアが審査した共通番号の採用を進め、正規メッセージの見極めに役立てています。
パスキー認証の利用にはNOMURAアプリが必須で、アプリ上でパスキーを登録します。パスキーは端末外へ送信されず、登録端末でのみ機能します。この仕組みにより、従来のログインIDとパスワードの入力が不要になり、フィッシング耐性と操作性の両面で効果を発揮します。IDやパスワードの窃取対策として、ログイン時や取引時にソフトウェアキーボードが利用でき、キー入力の記録を狙うスパイウエアへの対策にもなります。オンラインサービスではEV SSL証明書を採用し、アクセス先が正規サイトであることを確認できるうえ、SSLやTLSによる暗号化通信で情報漏えいや改ざんのリスクを抑えます。加えて、強力なファイアウォールと24時間監視体制で不正と考えられるアクセスをブロックし、一部のIPアドレスからのアクセス制限も実施しています。ログイン後画面の個人情報はマスキングされ、万一の不正ログイン時でも閲覧される可能性を低減します。
不正アクセス検知では、アクセスに利用した回線や端末情報、行動履歴などが対象情報となります。提供先はLexisNexis Risk Solutions FL Inc.で、同社はお客様を直接特定できない形式に置き換えた情報を一定期間保管し、国内外サーバーで不正検知に用います。サーバー所在国はアメリカ合衆国、アイスランド、マレーシアで、個人情報保護のための措置はOECDプライバシーガイドラインの原則に対応するとされています。メールの正当性確認では、BIMI対応のメールクライアントに限り、@nomura.co.jpと@nomura.comのドメインからのメールにNOMURAロゴが表示されます。SMSでは、0005から始まる審査済の共通番号として、0005-860400または0005-008604を使用し、正規送信であることの識別を支援します。メール通知サービスも用意され、ログインや出金、電話番号変更時に通知を受け取ることで不審な操作の早期気づきにつながります。
利用者側で今すぐ実施できる対策として、パスキー登録、多要素認証としてのワンタイムパスワード設定、メール通知サービスの有効化が挙げられます。オンラインサービスのパスワードは定期的に変更し、ログイン用と取引用を同一にしないことが求められます。パスワードの保存はパソコン内に残さず、流出に備えて前回ログイン日時や取引の確認を習慣化することも重要です。登録電話番号は最新の状態に更新し、不審アクセス時の連絡が確実につくように準備します。OSやブラウザは常に最新へアップデートし、ウイルス対策ソフトを導入して検知と駆除を行った状態で利用することが推奨されています。また、メールで取引パスワードを求める案内は行っていないため、そのような画面やメッセージに遭遇した場合は認証情報を入力しないことが重要です。
詳しくは「野村證券株式会社」の公式ページまで。
