単なる多要素認証では防げない脅威：リアルタイム・フィッシングの脅威と求められる対応

近年、日本の金融機関における不正アクセス被害は、規模・巧妙性の両面で深刻化しています。特に2024年末以降、金融機関などを標的とした不正アクセス被害が相次ぎ、顧客口座からの不正送金や証券取引に直結する事案が多発しています。被害は単なる認証突破にとどまらず、顧客信頼の毀損や金融システム全体の信用低下といった長期的影響も懸念されます。

この状況を受け、金融庁は監督指針の改正等を通じて、認証強化および被害抑止のための制度的枠組みを強化しようとしています。

こうした不正アクセスの問題は、金融機関だけに限った話ではありません。オンラインサービス上で資産や機微なデータを取り扱う全ての事業者にとっても、同様に深刻なリスクとなっています。

本稿では、最新の不正アクセス動向、脅威の特徴、そして求められる対応について解説します。

不正アクセスの動向

近年、日本の金融機関をはじめとした事業者を標的とした不正アクセスおよび不正取引が急速に拡大し、業界全体の重大なリスクとなっています。とりわけ2025年4月には不正アクセス件数が5,000件を超え、被害額も約3,000億円に達するなど、かつてない規模の被害が明らかになりました（図表1）。この事態を受け、金融庁は証券会社を中心にセキュリティ対策の強化を要請し、また利用者にも注意喚起を徹底するなど、多方面からの対応を推進しています。

その後、不正アクセス件数は減少傾向に転じたものの、依然として巧妙化・高度化した攻撃が継続している現状には変わりありません。サイバー攻撃者は不正に取得したID・パスワードリストの悪用やフィッシングなどの攻撃手法を用いて不正アクセスを行い、金融資産や個人情報の詐取を狙う動きを強めており、金融機関・利用者双方にとって持続的な警戒が求められる状況となっています。

図表1：インターネット取引サービスでの不正アクセス・不正取引（2025年1月～7月）

^{（参照）金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています（令和7年8月7日更新）」を基にPwC作成}

こうした状況を受けて、金融庁では2025年7月15日に「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案）を取りまとめて公表を行い、2025年8月18日までパブリックコメントを募集しました。

本稿の執筆時点では正式に改正は行われていませんが、フィッシング耐性のある多要素認証の必須化、リスクの高い操作がなされた際のユーザー通知の実装、振る舞い検知の実施、不正アクセスの防止や発生時における組織的な対応などの要求が改正案には盛り込まれています。

「単なる多要素認証」では防げない脅威：リアルタイムフィッシング

従来、高いセキュリティが求められるサービスにログインする際は「多要素認証（MFA）」の適用が一般的な対策とされ、多要素認証を採用すれば認証強度は十分に高まる、という見方が広く受け入れられてきました。しかし、今回の監督指針（案）では単なる「多要素認証」ではなく、「フィッシングに耐性のある多要素認証」という文言が明示的に示されています。

これは、「パスワード認証＋ワンタイムパスワード（OTP）」といった、これまでコンシューマー向けサービスを中心に普及してきた多要素認証だけでは防ぎきれない脅威が存在し、かつその脅威が無視できない深刻なものとなっていることを示しています。
その脅威の一つが「リアルタイムフィッシング（real-time phishing）」と呼ばれるものです（図表2）。

図表2：リアルタイムフィッシングの概要

この脅威は、攻撃者がユーザーと正規Webサイトの間に入り、攻撃者がフィッシングサイトを通じて利用者から窃取したID・パスワードを正規Webサイトに入力した後、その結果ユーザーに通知されるOTPまでも窃取して有効期限内（リアルタイム）に正規Webサイトに入力して不正アクセスを行うものです。

このように、パスワード認証とOTPを組み合わせた従来型の多要素認証では、こうした巧妙なフィッシング攻撃に対して十分な耐性がないことが明らかになっているため、「フィッシングに耐性のある」多要素認証が現在明示的に求められています。

フィッシングに耐性があるとは

「フィッシングに耐性がある」とは、具体的にどのような状態を指すのでしょうか。

米国国立標準技術研究所（NIST）が発行するデジタルアイデンティティに関するガイドライン「NIST SP800-63-4」では、フィッシング耐性（phishing-resistance）について次のように定義しています。

「本書におけるフィッシング耐性とは、申請者（ユーザー）の注意深さに頼ることなく、認証プロトコルが、なりすました検証者（攻撃者）に対して認証シークレットや有効な認証器の出力の開示を防ぐ能力である。（In this document, phishing resistance is the ability of the authentication protocol to prevent the disclosure of authentication secrets and valid authenticator outputs to an impostor verifier (i.e., an attacker fraudulently posing as the verifier) without relying on the vigilance of the claimant.）」

^{※米国立標準技術研究所（NIST）「SP 800-63B-4: Digital Identity Guidelines, 3.2.5Phishing Resistance」より引用
※認証シークレット（authentication secrets）：パスワードや秘密鍵などの「認証のための秘密情報」
※認証器の出力（authentication outputs）：トークンや署名、ワンタイムコードのように「認証器が生成する結果」}

つまり、ユーザーがフィッシングサイトを見抜くことに依存せず（ユーザーが騙されることを前提として）、技術的な仕組みによって認証情報や認証器の出力を攻撃者から守ることができる状態が「フィッシング耐性がある」と言えます。

フィッシング耐性のある多要素認証：パスキー（passkey）

近年、フィッシング耐性を備えた認証方式として注目されているのがパスキー（passkey）です。

パスキーは、公開鍵暗号方式を基盤に用いた認証方式です。
パスワードを用いず、公開鍵暗号（所有物認証）とローカルデバイス上での生体認証などを組み合わせた多要素認証を実現しており、セキュリティとUXの両面で優れているとされています。

秘密鍵は登録した正規Webサイトに結び付けられているだけでなく、ブラウザが「今開いているサイトが本当のサイトかどうか」を自動的に確認するため、フィッシングサイトでは利用できません。
また、認証は確立されたTLSセッションと紐付けられており、サーバーが発行する一度きりのランダムなデータ（challenge）に秘密鍵で署名して応答します。そのため認証情報を別の通信経路に転送しても検証に失敗し、中間者攻撃を防ぎます。さらに秘密鍵は端末内の安全な領域に保存され外部に取り出せないため、攻撃者が盗み出して使うこともできません。このような仕組みにより、パスキーは従来のパスワードやOTPでは実現できなかった、強固なフィッシング耐性を備えています。

現在、多くの主要プラットフォームやデバイスがパスキーをサポートしはじめており、世界的に普及が加速しています。この動向は、パスワード中心の認証から、フィッシング耐性を備えた次世代の認証方式への転換となる重要な潮流を象徴しています。日本においても、犯罪対策閣僚会議で決定された「国民を詐欺から守るための総合対策2.0」において、ID・パスワードの窃取対策としてパスキー導入が明記されており、政策面からの社会的推進力も期待されています。

不正アクセス被害の防止に向けて求められる対応

フィッシングの脅威に対抗するため、ユーザーへの注意喚起や、送信メールドメインの認証など、ユーザー自身が正規サイトとフィッシングサイトを見極められるよう支援する対策が従来から実施されています。確かにこれらの取り組みは重要ですが、近年ではユーザー自身が正規サイトと偽サイトを判別することが困難になっているのが現状です。

そのため、フィッシング対策としては、ユーザーの判断力に依存せずユーザーが騙されることを前提として、パスキーのようなフィッシング耐性のある認証方式を活用することがますます重要となっています。

また、今後もこのような手口が進化し続け、新たな脅威が生まれることも否定できません。ここで重要となる一つの考えは、「認証方式」そのものに着目するのではなく、その認証方式が「どのような脅威に耐性があるのか」という理解に基づき、適切な方式を選択することです。

図表3：当人認証における脅威と認証方式の関係性の整理（イメージ）

図表3のように、当人認証における脅威と認証方式の関係性を整理し、自社で提供する認証方式がどの脅威に耐性があるのかを十分に理解した上で適用することが求められます。

これまで述べたとおりパスキーは、不正アクセス被害の防止策として高い期待が寄せられていますが、単にパスキーをログイン時の認証強化に適用するのでは本質的なセキュリティ向上にはつながりません。例えば、パスキーの新規登録やアカウントリカバリーの際など、IDや認証器のライフサイクル全体を通じて適切なレベルでの本人確認を徹底することで、潜在的な脆弱性の残存を防ぐことが重要です。また、その検討のための土台として、自社における本人確認の保証レベルを整理し、それぞれのレベルの定義や位置付けを明確にすることも重要です。

また、そうした対策を講じた上でも不正アクセス被害は発生することを前提として、組織横断的な不正アクセスに関するインシデントレスポンスの体制構築やインシデントに備えた演習なども実施することも求められます。実際の被害発生時を想定した組織横断的な体制やプロセスを事前に整備することは、インシデント発生時の機動的な対応やレジリエンスの確保の実現につながり、ユーザーや社会からの信頼を維持する上では重要になるでしょう。

日々進化し続ける巧妙な不正アクセスの脅威に対応しながら、複数のオンラインサービス間で統制がとれた運営や連携を維持することは、一筋縄ではいかなくなっています。

こうした困難な状況に直面している現在においては、単なる対処療法的なその場しのぎの多要素認証導入といった対応を行うのではなく、組織全体として不正アクセスのリスクに立ち向かう姿勢が不可欠です。そうした組織全体での取り組みの開始や継続が、将来にわたってユーザーや社会からのサービスの信頼性を維持する基盤となり、継続的かつ安定した事業運営にも寄与するでしょう。

まとめ

不正アクセスの脅威は昨今高まっており、パスキーをはじめとするフィッシング耐性のある認証技術は、世界的な普及の流れとともに、今後一層重要になると考えられます。

従来のユーザー任せの対策では限界がある中、ログイン時だけでなく登録やリカバリーの場面でも厳格な本人確認を実施し、不正アクセスの脅威に備える必要があります。

また、不正発生を前提とした体制構築や、サービス間で統一した認証保証レベルの整理・運用も、組織の信頼維持には不可欠です。進化し続ける攻撃手法に対抗するためには、一時的な対応にとどまらず、全社的・継続的な対策を推進する姿勢が必要であり、未来のサービス運営の礎となるでしょう。