楽天証券でリアルタイムフィッシング詐欺発生 多要素認証を突破する新たなセキュリティ脅威
2025年10月10日、楽天証券は多要素認証を悪用した「リアルタイムフィッシング詐欺」が確認されたとして、公式サイト上で注意を呼びかけた。
正規サイトを模倣した偽ページに誘導し、絵文字認証や取引暗証番号まで窃取する高度な手口が明らかになった。
楽天証券の正規認証を模倣 絵文字入力を悪用した詐欺手口
楽天証券によると、今回確認された「リアルタイムフィッシング詐欺」は、公式からの通知を装ったメールやSMSを通じて偽サイトへ誘導するものだ。
ユーザーがログインIDやパスワードを入力すると、攻撃者はその情報を即座に使用し、楽天証券の正規サイトに即座にアクセスする。
次に表示される追加認証(絵文字入力)の情報を、フィッシングサイト上でも入力させることで、実際の認証を突破する仕組みになっている。
さらにフィッシングサイトでは、ログイン直後に「取引暗証番号」の入力を求めるが、楽天証券は「正規サイトではログイン直後に取引暗証番号を求めることはない」と強調し、詐欺被害を防ぐための識別ポイントとして注意を促している。
また、個人情報(氏名・住所・生年月日など)を入力させるケースもあるという。
同社は、万が一情報を入力してしまった場合は「直ちにログインパスワード・取引暗証番号を変更し、スタマーサービスセンターまでご連絡ください」としている。
加えて、公式URL「https://www.rakuten-sec.co.jp/」以外のページでログイン操作をしないよう呼びかけている。
「安心神話」崩壊後の課題と次の防御戦略
楽天証券の注意喚起は、多要素認証の限界を可視化した点で大きな意味を持つ。
企業にとっては、脆弱性を早期に公表することで被害拡大を防ぎ、利用者の防御意識を高める契機となったと考えられる。
透明性を確保する姿勢は、長期的には信頼醸成にもつながるだろう。
一方で、自社の防御体制が突破されたということについては、悪印象を与えるリスクも否定できない。
顧客の一部に「どんな認証も安全ではない」という不信感を抱かせてしまい、ブランド価値が揺らぐおそれがある。
利用者側もまた、警戒心が強まる半面、「正しい判断基準がわからない」という心理的疲弊に直面する可能性がある。
今後は、攻撃手口が生成AIや自動化技術によって一段と精緻化することが予想できる。
そのため、企業は単なる多要素認証の強化に留まらず、AIによる行動認証や異常検知を導入し、リアルタイムで防御を行う体制を構築する必要があるだろう。
加えて、ユーザー教育を「負担」ではなく「体験」として設計し、直感的に危険を察知できる仕組みを浸透させることが、今後の金融セキュリティの鍵を握ると考えられる。
関連記事:
イオン、グーグルと連携し偽サイトに警告画面 AIで金融詐欺対策を強化へ
🚀 AI・Web3業界への転職を考えているあなたへ
「最先端技術に関わる仕事がしたい」「成長市場でキャリアを築きたい」そんな想いを抱いていませんか?
Plus Web3は、AI・Web3領域などテクノロジーに投資する企業の採用に特化したキャリア支援サービスです。
運営する株式会社プロタゴニストは、上場企業グループの安定した経営基盤のもと
10年以上のコンサルタント歴を持つ転職エージェントが
急成長する先端技術分野への転職を専門的にサポートしています。
こんな方におすすめです
▼成長産業であるAI・Web3業界で新しいキャリアを始めたい
▼「未経験だけど挑戦してみたい」という熱意がある
▼今のスキルを最先端技術分野でどう活かせるか相談したい
▼表に出ない優良企業の情報を知りたい
業界に精通したキャリアアドバイザーが、
あなたの経験・スキル・志向性を丁寧にヒアリングし、
最適な企業とポジションをマッチングします。
Web3企業
AI企業
この記事が気に入ったら
フォローしてね!