ブログ

2026年3月9日更新の金融庁の暫定集計では、2025年1〜5月の証券口座への不正アクセスは11,444件、不正取引は6,499件、売却約2,953億円、買付約2,604億円に達しました。しかも、これらの金額は顧客の損失額そのものではなく、不正売買の総額です。いま問われているのは「MFAを入れたか」ではなく、「そのMFAはフィッシングに耐えるか」です。（金融庁「インターネット取引サービスへの不正アクセス・不正取引にご注意ください」2026年3月9日更新）

背景・脅威動向

AiTM（Adversary-in-the-Middle）攻撃は、MFAの"入力"を逆手に取る

近年増えているAiTM攻撃は、利用者と本物のサービスの間に偽サイトを挟み込み、ID・パスワードだけでなく、SMSや認証アプリのワンタイムコード、さらにはログイン後のセッション情報までリアルタイムに中継します。Microsoftは、MFAの普及に伴ってAiTM型の認証情報フィッシングが増加していると説明し、Evilginxのようなオープンソースのフィッシングキットがその影響を拡大させていると報告しています。Oktaも、EvilProxyを逆プロキシ型のPhaaS（Phishing-as-a-Service）として、認証情報と有効なセッションCookieを盗み、MFAを回避し得る仕組みだと整理しています。（Microsoft Security Blog、Okta Threat Intelligence）

金融庁のMFA規制強化は「方式の質」を問う段階に入った

金融庁は2025年6月、証券口座の不正アクセス対策について、ID・パスワード認証だけでなく「メールやSMSメッセージによるワンタイムパスワードだけでは昨今のフィッシングに対してはあまり効果がない」と明言し、パスキーなど強度のある多要素認証の必須化が必要だと示しました。さらに2025年10月15日には「金融商品取引業者等向けの総合的な監督指針」を改正・施行し、証券会社等のインターネット取引で、ログイン、出金、出金先銀行口座の変更など重要操作にフィッシング耐性のある多要素認証を実装し、原則デフォルトで必須化する方向を打ち出しています。金融庁は原則2026年6月末までの実施を求めており、これは"すべての企業への一律の法的義務化"ではないものの、少なくとも金融分野では「どのMFAか」が監督上の重要論点になったことを意味します。（金融庁「新形態銀行との金融犯罪対策等に係る意見交換会 連絡事項」2025年6月、金融庁「金融商品取引業者等向けの総合的な監督指針」、金融庁「業界団体との意見交換会において金融庁が提起した主な論点」2025年11月18日）

SMS認証の限界は、SIMスワップだけではありません

SMS認証は「所持」要素を使うため、要素の定義上は多要素認証に該当します。しかしIPAは、SMSで届くワンタイムパスワードを狙うフィッシングがあると注意喚起しています。NIST SP 800-63B-4も、PSTNを使うout-of-band認証を制限付きとし、OTPやout-of-band認証をフィッシング耐性ありとは扱っていません。理由は単純で、利用者が見たコードを偽サイトに入力すると、攻撃者がその値を本物サイトへ転送できるからです。警察庁も、SIMスワップがSMS認証回避の手口として使われたことを整理しており、国内では対策強化後に被害は減ったものの、SMSが構造的に強い方式とは言い切れません。（IPA「情報セキュリティ10大脅威2025 知っておきたい用語や仕組み」、NIST SP 800-63B-4、警察庁「キャッシュレス社会の安全・安心の確保に向けた検討会 報告書」）

技術的知見・本論

MFA方式比較表

下表は、企業で採用されやすい3方式を相対評価で整理したものです。セキュリティ強度はフィッシング耐性を重く見た評価であり、導入コストとユーザー体験は一般的な企業導入の目安です。既存のIdP、端末管理、ヘルプデスク体制によって前後します。（NIST SP 800-63B-4、IPA、金融庁）

方式	セキュリティ強度	導入コスト	ユーザー体験	フィッシング耐性	向く使い方
SMS認証	限定的	低	中（SMS受信とコード入力が必要）	なし	移行期の代替手段、例外対応
TOTP認証アプリ	中〜高	中	中（アプリ確認とコード入力が必要）	なし	既存SSO/VPNの移行期、従業員向け補完
FIDO2・パスキー	高	中	高（顔・指紋・PINで完了しやすい）	あり	顧客ログイン、従業員SSO、管理者認証の標準候補

ここで重要なのは、本記事で比較した3方式の中で、NISTが定義するフィッシング耐性を満たすのがFIDO2／WebAuthn系だけだという点です。NISTは、OTPやSMSのように人がコードを読み取って入力する方式をフィッシング耐性なしと明記し、AAL2でも少なくとも1つのフィッシング耐性オプションを提供すべきだとしています。一方でWebAuthnは、認証結果を正規ドメインに暗号的に結び付ける仕組みを持ちます。なお、PKIベースのクライアント認証など、他にもフィッシング耐性を持つ方式はありますが、Webサービスで広く導入しやすい代表格がFIDO2／パスキーです。（NIST SP 800-63B-4、金融庁、日本証券業協会）

なぜFIDO2／パスキーが有力なのか

IPAは、パスキーが公開鍵暗号方式を使い、サーバ側にパスワードを保存せず、毎回変わる認証用データを用いるため再利用が難しいと説明しています。さらに、端末の生体認証やPINはローカルで端末を解除するために使われるので、仮にフィッシングでPINを入れてしまっても、その値がそのままサービスの認証秘密になるわけではありません。IPAは、パスキーにはSIMスワップやSMS認証の突破手口への耐性があり、端末所持と生体・PINを組み合わせることで、パスキー自体が多要素認証として機能し得る点も利点に挙げています。（IPA「情報セキュリティ10大脅威2024 解説書」、NIST SP 800-63B-4）

導入ステップは「重要操作から、段階的に」が現実的です

第一段階は棚卸しです。顧客側ではログイン、送金・出金、振込先や出金先の変更、個人情報変更などを洗い出します。従業員側ではメール、SSO、VPN、特権ID、管理者コンソール、ベンダー保守のリモート接続を優先対象にします。金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」でも、重要なシステムへのリモートアクセスには多要素認証や暗号化接続の利用が求められています。（金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」）

第二段階は、重要操作からFIDO2／パスキーを優先することです。すべてを一度に置き換える必要はありません。まずは特権ID、経理承認、管理者、インターネット取引の重要操作など、被害額と横展開リスクが大きい領域を先に切り替えます。SMSやTOTPは、移行期の代替手段や例外対応としては有効ですが、最終到達点として据えるより、段階的に縮小していく設計が望ましいでしょう。（金融庁、日本証券業協会、NIST SP 800-63B-4）

第三段階は、認証"だけ"で終わらせないことです。金融庁は、メールやSMSにログインリンクやパスワード入力ページのURLを安易に載せないこと、ブックマークや正規アプリからのログインを促すこと、送信ドメイン認証の導入、フィッシングサイトの閉鎖依頼、ログイン通知、アカウントロック、振る舞い検知の強化を求めています。AiTMは認証の一瞬だけでなく、その後のセッション悪用まで狙うため、企業のフィッシング対策は認証・検知・回復を一体で設計する必要があります。（金融庁「金融商品取引業者等向けの総合的な監督指針」、Microsoft Security Blog）

第四段階は、例外と復旧フローの設計です。スマートフォンを持たない利用者、端末の買い替え、紛失時の再登録、ヘルプデスクの本人確認まで、先に設計しておかないと現場が止まります。日本証券業協会の実務指針も、フィッシング耐性のある多要素認証を使えない顧客には代替MFAを提供し、解除率を追いながら見直すことを求めています。移行ロードマップは、技術選定だけでなく、例外率と運用負荷の管理まで含めて初めて完成します。（日本証券業協会「インターネット取引における不正アクセス等防止に向けたガイドライン」、NIST SP 800-63B-4）

まとめ

いま必要なのは、「MFAを導入済み」という自己評価を捨てることです。SMSやTOTPは、パスワード単独より確実に安全性を上げます。しかし、金融庁自身が「メールやSMSのワンタイムパスワードだけでは昨今のフィッシングに十分ではない」と明言した以上、企業や金融機関のロードマップは、①重要操作の棚卸し、②SMS/TOTPの例外化、③FIDO2／パスキーの標準化、④通知・検知・復旧の整備、の順で進めるべきです。MFAは入れて終わりではなく、攻撃手法に合わせて更新し続ける認証基盤として運用していく必要があります。（金融庁、NIST SP 800-63B-4、IPA）

ご相談

自社の認証基盤が、いまのフィッシングやAiTMにどこまで耐えられるか、点検できていますか。Link T&Bでは、認証方式の棚卸し、重要操作の洗い出し、パスキー移行の優先順位設計を含むセキュリティ診断をご支援しています。詳しくはサービスページ、個別相談はお問い合わせをご覧ください。

関連記事

ローカルLLM導入

中小企業セキュリティ

: