日本証券業協会(日証協)は10月15日、改正した「インターネット取引における不正アクセス等防止に向けたガイドライン」を公表し、同日付で施行しました。このガイドラインは、2025年7月15日から8月18日まで募集したパブリックコメントを踏まえ、インターネット取引における不正防止、脆弱性対策や情報管理、不正利用時の対応などについての具体的な留意事項を取りまとめたものです。寄せられたパブリックコメントは115件(意見数)でした。
本ガイドラインは、証券業界において2020年に複数発生した不正アクセスによる有価証券の売却と不正出金、個人情報の漏えいを受け、2021年3月に制定されました。その後、2021年7月に改正され、今回は4年ぶり2回目の改正となります。
今回の改正は、近年の公的個人認証サービスや多要素認証の普及・定着といったインターネット技術の利活用による環境の変化に対応したものとなっています。それに加え、フィッシングやマルウェアによる顧客情報の窃取により不正アクセスやなりすまし取引などが発生し、従来の不正出金ではない、不公正取引への悪用事案が頻発したことを考慮し、改正に至りました。
日証協は、インターネット取引サービスを提供する同協会会員の金融商品取引業者に対し、各社が提供するサービス内容に応じた対応策をガイドラインに沿って改めて見直し、インターネット取引システムのセキュリティ水準の向上に努めることを求めています。
改正案では、ログインや出金、出金先の銀行口座を変更するなどの際に、フィッシングに耐性のある多要素認証の実装および必須化を新たに明記しました。また、不正なログインや取引時などにおける顧客への通知を必須化することも併せて記されています。
フィッシング詐欺被害を未然に防ぐための措置としては、次の5つの項目を実施することを求めました。
- 顧客へ送信する電子メールのドメインについてDMARCなどの送信ドメイン認証技術の導入を行う
- 共通ショートコードを利用し、Webサイト上またはアプリケーション上などで当該共通ショートコードを公開する
- 自社を騙るフィッシングサイトについてアクセス制限のためのテイクダウン(閉鎖)活動を行う
- ドメインは自己のブランドと認識し、ガイドライン記載の3項目(※)を中心に適切に管理する
- メールやSMS内にパスワード入力を促すページのURLやログインリンクを記載しない
パブリックコメントを受け、新たに追加されたのが社内教育のベストプラクティスです。フィッシングなどによる不正アクセス・不正取引発生を想定した対応演習・訓練を実施することが望ましいと追記されました。
このほか、顧客の被害拡大・二次被害などを防止するための周知・注意喚起が必要であるとして、それらの方法が具体的な手順とともに記されています。
※(1)自組織に割り当てられているドメイン名を把握・管理する(2)ドメイン名のライフサイクルを管理する。また、ドロップキャッチやサブドメインテイクオーバーなどの攻撃に対する対策を実施する(3)顧客に対し、サービスで使用するドメインに関する周知を行う。
