最近になって『楽天証券で保有している株を勝手に全部売られ、代わりに見たこともない中国の株が全力で買われている』という大事件が起きています。
可能性で言えばフィッシング(偽サイト)に引っかかった疑いが強いですが、そうではない可能性も少なからず残されている以上、『どうせ原因はフィッシングに決まってる』と断定するのはまだ早い、と私は考えています。
自分の資産が大切ならば(全員だと思いますが)、打てる対策は今からでも打つべきです。
予算をかけずに今すぐ打てる対策はたくさんあります。
では、ご紹介しましょう。(※PCユーザーをメインに想定しています)
■楽天証券ユーザーが予算をかけずに無料で資産を守る方法
■1、楽天証券専用のメールアドレスを用意する
■2、楽天証券専用のブラウザ、またはブラウザプロファイルを用意する
■3、既に16桁にしていても、もう一度パスワードを今すぐ変更する
■4、ログインID・パスワードの最後の数文字以外をブラウザの自動入力機能(パスワードマネージャー)に記憶させる
■5、上記■4を実行した上で、ログインID・パスワードの最後の数文字は手入力でログインする
■6、二段階認証をオンにする
■7、ログイン通知メール設定をオンにする
■8、最後は目視で確認
以下、詳細となります。
■1、楽天証券専用のメールアドレスを用意する
フィッシングメールを分かりやすく一網打尽にしてくれます。
楽天証券に登録していないメールアドレスに楽天証券からメールが届く訳がありません。
登録していないメールアドレスに届くメールはすべて楽天証券を騙るフィッシングメールと判断できます。
《登録メールアドレス変更の手順》
■2、楽天証券専用のブラウザ、またはブラウザプロファイルを用意する
ブラウザ経由での情報漏洩の可能性を低減できます。
普段使いはChromeだけど楽天証券を使う時はFirefox、のように別のブラウザを用意しましょう。
今使っているブラウザが一番信用できる、手に馴染んでいて使い勝手が良い、という場合はそのブラウザで楽天証券専用の新しいプロファイルを作成しましょう。
プロファイルを変えれば、ブラウザに記録される情報や履歴もプロファイルごとに別物として管理されます。
また、機能拡張のインストールもプロファイルごとに個別に行うことができます。
新しいプロファイルの作成の仕方はブラウザによって異なりますので、ブラウザの右上、左上、メニューバー、設定などからプロファイルの項目を探して確認してみてください。
プロファイルの項目さえ見つかれば、あとは数クリックで新しいプロファイルを簡単に作成することができます。
また、『確実にログアウトする』『キャッシュや履歴をブラウザに残さない』ことを徹底するため、ブラウザのプライベートモード(シークレットモード)を利用するとさらに危険度を低減させられるでしょう。
■3、既に16桁にしていても、もう一度パスワードを今すぐ変更する
つい最近変えたのであれば話は別ですが、このところずっとパスワードを変えてない、もしくは今まで一度もパスワードを変えたことがないのであれば、今すぐパスワードを変更しましょう。
変更するパスワードは最大桁数である16桁にしておきましょう。
さらに取引暗証番号も変更しておけば、セキュリティはより盤石となります。
《パスワード変更の手順》
■4、ログインID・パスワードの最後の数文字以外をブラウザの自動入力機能(パスワードマネージャー)に記憶させる
『ブラウザから情報が漏れる心配がないのでログイン作業は全部手入力する方が安全』という説もありますが、個人的には賛成できません。
なぜなら自動入力機能が反応したことによって、それが正規のウェブサイトであると判断できるからです。
もし自動入力機能を使っていなかったら、巧妙に仕組まれたフィッシングサイトに気づかずログイン情報を自分で手入力してしまう可能性が高まります。
また、正規のサイトだったとしてもキーロガー(どのサイトで何の文字を入力したかを記録するスパイウェア)に引っかかっていた場合、手入力したログイン情報をすべて記録され盗まれてしまいます。
これらの危険を避けるためには、ブラウザの自動入力機能(パスワードマネージャー)にログインIDとパスワードを途中まで記憶させておくことが有効です。
途中までしか記憶させない理由は、ブラウザに記憶されている情報が漏れたとしても、その情報だけでそのままログインさせないためです。
最後の数文字は手入力となりますが、手入力する文字が数文字であればキーロガーにログイン情報の全てを盗まれてしまう可能性は確実に低減します。
ブラウザの自動入力設定・パスワード設定を確認して、ログイン情報は最後の数文字を削った状態で登録しておきましょう。
■5、上記■4を実行した上で、ログインID・パスワードの最後の数文字は手入力でログインする
ほぼ上記■4で説明済みですね。
まとめると、『ログインID・パスワードの最初の数文字を自動入力、最後の数文字を手入力することで、フィッシング対策、ブラウザ情報漏洩対策、キーロガー対策の全てを兼ねることができる』ということになります。
■6、二段階認証をオンにする
楽天証券で設定できる、画像で認証する二段階ログイン認証です。
仕組みは単純ですが効果は高いので、ぜひ設定しておきましょう。
《二段階認証有効化の手順》
■7、ログイン通知メール設定をオンにする
ログインしたらログインの通知メールが来る設定ですが、デフォルトではオフになっています。
これをオンに変えておけば、自分がログインしていないにも関わらずログイン通知が届いた段階ですぐに不正アクセスに対応することができます。
《ログイン通知メール有効化の手順》
身に覚えのないログイン通知メールが届いた時の具体的な緊急対応策として『不正アクセス対策(証券口座の一時的な利用停止) ※24時間自動受付』を引用して挙げておきましょう。
24時間自動受付の電話認証により、口座へのログイン・取引・出金をロックすることができます。
不正アクセス対策(証券口座の一時的な利用停止) ※24時間自動受付
・スマートフォンの紛失や不正アクセスの疑い等による、お客様の口座へのロック設定/解除
※口座へのログインや取引、出金を制御するロックの設定/解除が可能です。
※取引暗証番号を一定回数以上間違えた場合のロックなど、その他のロックについては事務手続きダイヤルへお問い合わせください
0120-852-638(通話料無料)
※携帯電話からでもご利用いただけます。
※上記電話番号がご利用いただけない場合は、03-6706-2753(通話料有料)におかけください。
《スクリーンショット》
上記は主要な情報の引用です。
詳細は
引用元:https://www.rakuten-sec.co.jp/web/support/?scid=su_14085#sub20
にてお確かめください。
『ご利用前のご注意』の欄を読むと、認証には『部店・お客様コード』というものが必要だと書かれています。
これを意識して利用してる人は少ないのではないでしょうか?
『部店・お客様コード』の確かめ方は以下の引用の通りです。
『部店・お客様コード』の確認方法
・スマホでの確認方法
スマホサイトにログイン後の「マイメニュー」画面にて、左上に部店コード(3桁)とお客様コード(口座番号)(6桁)を表示しています。
《スクリーンショット》
・PCでの確認方法
PCサイトにログイン後の「ホーム」画面にて、お客様のお名前の下に部店コード(3桁)とお客様コード(口座番号)(6桁)を表示しています。
《スクリーンショット》
引用元:https://faq.rakuten-sec.co.jp/3304003
となっています。
部店・お客様コードを確認したら、万が一の時に迅速に行動できるよう、連絡先電話番号と共に自分の分かりやすいところへメモしておきましょう。
《連絡先電話番号》
0120-852-638(通話料無料)
※携帯電話からでもご利用いただけます。
※上記電話番号がご利用いただけない場合は、03-6706-2753(通話料有料)におかけください。
■8、最後は目視で確認
まずはメールに記載されているリンク自体をクリックしないことです。
楽天証券のページをブックマークに入れておき、ブックマーク経由で毎回ログインしていれば、メール経由でフィッシングに引っ掛かる可能性は確実に低減されます。
重要なお知らせ等はブックマーク経由でログインした後で確かめましょう。
何らかの理由でリンクをクリックする場合は(しなければならない理由はほぼ無いですが)複合的判断が必要となります。
文面の日本語が怪しくなかったか?
メールの内容があなたの不安を煽り、かつ対応を焦らせるようなものなら、それがフィッシングメールである可能性が爆発的に高まります。
内容が怪しければメールのヘッダー情報も確かめましょう。
ヘッダー中のSPF、DKIM、DMARC(※全て認証情報です)は全てPASSとなっているか?
PASSではなくFAILとなっていれば、それは何かが偽装されている可能性が高いメールです。
楽天証券からあなたへ送られているメールなのに、ヘッダーの途中(特にFrom、Return-Path、Reply-Toの箇所)で全く無関係なメールアドレスが記載されていないか?
ドメインは正規の楽天証券のものか?
ドメインとは楽天証券のURL『https://www.rakuten-sec.co.jp/』のうちの『rakuten-sec.co.jp』の部分を言います。
この文字列(記号を含む)が一文字でも違っていたらそれは別のドメインとなります。
すなわちそれは楽天証券のドメインではありません。
例をあげると『rakuten-sec-alert.com』『rakuten-secco.jp』『rakutem-sec.co.jp』『ratuken-sec.co.jp』のように、余計な文字列が付いていたり、パッと見同じに見えるような文字列だったりしますので、よく確認しましょう。
また、以下のリンク先は楽天証券のトップページとなっています。
↓
https://www.rakuten-sec.co.jp/
しかし、見た目は同じですが以下のリンク先はGoogleのトップページとなっています。
↓
https://www.rakuten-sec.co.jp/
このように、リンクを示すURLが正しくても全く違ったサイトへ誘導されることがあるので、リンクをクリックする前にリンクにカーソルを合わせ、ブラウザ左下のステータスバー、またはポップアップに表示されるリンク先のサイトURLが正しいドメインを表示しているかどうかを確認してください。
ただし、以下のリンクのように見た目もステータスバー(ポップアップ)も楽天証券の正しいURLを示しているにも関わらず、実際にリンク先に移動してみると違うサイト(ここではGoogle)への誘導だった、ということも十分あり得ます。
↓
https://www.rakuten-sec.co.jp/
リンク先へと移動した後も油断せず正しく移動しているかをURLを見てよく確かめ、さらにSSL証明書の発行元組織が『Rakuten Securities, Inc.』となっていることを確認しましょう。
繰り返しますが、メールに記載されているリンク自体をクリックしないことが一番です。
楽天証券のページをブックマークに入れておき、ブックマーク経由で毎回ログインするようにしましょう。
■さいごに:対策した人は勝ち確定です
今回のこの事件は、結局のところ最後には『利用者が過去にフィッシングに引っ掛かっていただけだった』という結末に終わるかもしれません。
もしそうだったとしたら、あなたが自分の資産を守るために不正アクセス対策をあれこれ取ったことはムダな労力となるでしょうか?
いえ、そんなはずありません。
あなたが時間をかけて情報を集め、学び、手間暇をかけて取った不正アクセス対策は、今後もあなたの資産をより強固に守ることとなります。
セキュリティに完璧はありませんが、100あったセキュリティの穴が50になり、さらに25にまで狭まれば、それだけあなたのセキュリティを突破することは難しくなりますからね。
この事件の結末がどうなったとしても、真面目に対策をしたあなたはそれだけで勝ち確定です。
保証します。
─ 昨日より一歩豊かに ─
