銀行や証券口座をスマホで使っていると、「SMS認証を設定しているから大丈夫」と思いがちです。しかし、最近の不正アクセスでは、SMSやメール内のリンクから偽サイトへ誘導され、ID・パスワードだけでなくワンタイムパスワードまで入力させる手口も確認されています。
- SMS認証だけでは不安が残る理由
- 銀行・証券口座で確認したいパスキーと多要素認証の考え方
- 偽サイトを避けるブックマーク運用と通知設定の見直し方
こんな方におすすめの記事です
- ネット銀行や証券口座をスマホで利用している方
- SMS認証を設定していれば十分だと思っている方
- 証券口座の不正アクセス報道を見て、自分の設定を見直したい方
本記事では、銀行・証券口座を守るスマホのパスキー設定と多要素認証について、SMS認証だけに頼らない確認手順をわかりやすく解説します。(専門知識は不要です!)
注:この記事は、金融口座をスマホで安全に使うための一般的なセキュリティ設定を整理したものです。特定の銀行・証券会社の安全性を比較・評価するものではなく、投資判断や金融商品の推奨を目的としたものでもありません。
⚠️ 最初に押さえたいポイント
SMS認証は無意味ではありません。ただし、SMSやメール内のリンクから偽サイトに入ってしまうと、認証コードまで盗まれるおそれがあります。金融口座へログインするときは、メッセージ内リンクではなく、公式アプリまたは事前に登録したブックマークから開くことが基本です。
銀行・証券口座はSMS認証だけで安心しない方がよい理由
銀行・証券口座を守るうえで、SMS認証はパスワードだけのログインより安全性を高める仕組みです。ただし、SMS認証を設定しているだけで安心とは言い切れません。
理由は、攻撃者が「本物そっくりのログイン画面」を用意し、そこへ利用者を誘導する手口があるためです。利用者が偽サイトにID・パスワードを入力し、続けてSMS認証コードやワンタイムパスワードまで入力してしまうと、その情報がすぐに悪用される可能性があります。
金融庁は、証券会社等を装った偽サイトによる不正アクセス・不正取引への注意喚起の中で、見覚えのある送信者からのメールやSMSであっても、メッセージ内のリンクを開かないことを案内しています。証券会社等のウェブサイトへアクセスする場合は、事前に正しいURLをブックマーク登録し、そこからアクセスすることが推奨されています。詳しくは金融庁「インターネット取引サービスへの不正アクセス・不正取引にご注意ください」をご確認ください。
SMS認証は有効だが、SMSリンクから入るとリスクが残る
SMS認証は、ログイン時にスマホへ届く確認コードを入力することで、本人確認を追加する仕組みです。パスワードだけでログインできる状態よりは、安全性を高めやすい方法です。
しかし、問題は「どこで認証コードを入力するか」です。本物の金融機関のサイトやアプリで入力するなら認証の役割を果たしますが、偽サイトに入力してしまうと、攻撃者に認証コードを渡してしまう形になります。
つまり、SMS認証そのものが悪いのではなく、SMSに書かれたリンクからログイン画面を開く行動が危険につながりやすいということです。
ワンタイムパスワードも偽画面に入力すれば守り切れない
日本証券業協会は、証券会社等を装った偽メールやSMSから偽サイトへ誘導し、ID・パスワードだけでなく、ワンタイムパスワードまで入力させる手口に注意を呼びかけています。このように、利用者が偽サイトに入力した情報をすぐに悪用する手口は「リアルタイムフィッシング」と呼ばれます。
詳しい注意喚起は、日本証券業協会「不正アクセス等にご注意ください!」でも確認できます。
ワンタイムパスワードは一定時間だけ有効なコードですが、攻撃者がその場で使えば、短い有効時間内でも不正ログインに使われる可能性があります。そのため、「ワンタイムだから安心」と考えるのではなく、「本物の画面に入力しているか」を重視する必要があります。
「SMS認証が悪い」ではなく「SMSだけに頼らない」が正解
SMS認証を設定している人が、すぐにSMS認証をやめるべきという話ではありません。大切なのは、SMS認証だけに頼らず、複数の対策を組み合わせることです。
避けたい使い方
SMSやメールに届いたリンクを開き、その画面でID・パスワード・認証コードを入力する。
安全性を高めやすい使い方
公式アプリやブックマークからログインし、利用できる多要素認証・パスキー・通知設定を有効にする。
銀行・証券口座では、「入口を固定する」「認証を強くする」「異変に早く気づく」の3つをセットで考えると、対策の優先順位が分かりやすくなります。
パスキーとは何か|金融口座で注目される理由
パスキーは、パスワードの代わりに使える新しいログイン方式です。スマホの顔認証、指紋認証、画面ロック解除などを使って本人確認を行い、サービスごとに作られる鍵の仕組みでログインします。
Appleは、パスキーについて、アカウントごとに一意の暗号鍵ペアを作成し、秘密鍵をサーバ側へ共有しない仕組みだと説明しています。また、パスワードと違ってフィッシング詐欺対策に優れ、共有のシークレットを使わない設計であることも案内しています。詳しくはApple公式「パスキーのセキュリティについて」をご確認ください。
Googleも、パスキーを使うことでフィッシングに対するセキュリティを強化できると説明しています。パスキーの基本的な考え方は、Google公式「パスワードの代わりにパスキーでログインする」でも確認できます。
パスキーはパスワードを毎回入力しない認証方式
パスキーでは、ログインのたびに複雑なパスワードを入力する代わりに、スマホのロック解除や生体認証を使って本人確認します。利用者の目線では、「パスワードを覚えて入力する」よりも、「スマホで承認する」感覚に近い仕組みです。
ただし、パスキーは単なる顔認証や指紋認証そのものではありません。顔認証や指紋認証は、スマホ内に保存された鍵を使うための本人確認として使われます。サービス側へ指紋や顔の情報を送る仕組みではありません。
フィッシングに強い理由は「共有する秘密」を入力しないこと
パスワードやSMS認証コードは、利用者が画面に入力する情報です。そのため、偽サイトに入力してしまうと、攻撃者に知られてしまうおそれがあります。
一方、パスキーでは、サービスごとに作られた鍵を使って本人確認を行います。秘密鍵は利用者側の端末や安全な保存領域で扱われ、サーバ側へそのまま送られるものではありません。
💡 パスキーは「合鍵を渡さない本人確認」
パスワードやSMSコードは、たとえるなら「合鍵の番号」を相手に伝えるようなものです。相手が本物なら問題ありませんが、偽物に伝えると悪用されるおそれがあります。パスキーは、合鍵の番号を渡すのではなく、スマホ側で「自分が正しい持ち主です」と証明する仕組みに近い考え方です。
FIDO Allianceも、パスキーはパスワードと異なり、フィッシングに耐性があり、共有される秘密を持たない設計だと説明しています。技術的な背景を詳しく知りたい場合は、FIDO Alliance「Passkeys」も参考になります。
パスキー自体の基本的な仕組みを先に知りたい場合は、当サイト内のパスキーの基本的な仕組みとスマホでの使い方もあわせて確認してください。
銀行・証券口座で使えるかは利用サービスごとに確認する
金融庁は、各証券会社等において、パスキー認証等のフィッシングに耐性のある多要素認証の導入が進められていると案内しています。ただし、実際にパスキーを使えるかどうか、どの操作で使えるかは、利用している銀行・証券会社によって異なります。
そのため、記事やSNSの情報だけで判断せず、自分が使っている金融機関の公式アプリ、公式サイト、公式ヘルプで確認してください。
スマホで確認したい多要素認証と通知設定
銀行・証券口座をスマホで守るには、パスキーだけでなく、多要素認証と通知設定をあわせて確認することが大切です。多要素認証とは、パスワードだけでなく、スマホ、認証アプリ、生体認証、ワンタイムパスワードなど、複数の要素を組み合わせて本人確認する仕組みです。
金融庁は、証券会社等が提供しているセキュリティ強化機能として、ログイン時・取引時・出金時・出金先銀行口座の変更時の多要素認証や通知サービスを有効にするよう案内しています。銀行口座についても、インターネットバンキングの利用状況通知や、多要素認証等の利用が案内されています。詳しくは金融庁「インターネットバンキングによる預金の不正送金事案が急増しています」をご確認ください。
まず確認するのはログイン時の多要素認証
最初に確認したいのは、ログイン時にどの認証方式を使えるかです。金融機関によって、SMS認証、認証アプリ、アプリ通知、ワンタイムパスワード、パスキーなど、利用できる方式が異なります。
確認する場所は、多くの場合、公式アプリや公式サイトの「セキュリティ設定」「ログイン設定」「認証設定」「二段階認証」「多要素認証」などのメニューです。ただし、画面名はサービスごとに違うため、迷った場合は公式ヘルプで確認してください。
取引・出金・出金先変更時の追加認証を確認する
ログインできるかどうかだけでなく、重要な操作をするときに追加認証があるかも確認しましょう。特に銀行・証券口座では、出金や出金先口座の変更、登録情報の変更などが重要です。
金融口座で確認したい認証・通知チェックリスト
- ログイン時に多要素認証を設定できるか
- パスキー認証に対応しているか
- 取引時に追加認証を設定できるか
- 出金時に追加認証を設定できるか
- 出金先銀行口座の変更時に追加認証があるか
- ログイン通知・取引通知・出金通知を受け取れるか
- パスワード変更や登録情報変更の通知を受け取れるか
すべての金融機関で同じ設定が用意されているわけではありません。大切なのは、「自分が使っているサービスで、どの場面に追加認証や通知があるか」を確認することです。
ログイン通知・取引通知・出金通知で異変に早く気づく
通知設定は、不正アクセスを完全に防ぐものではありません。しかし、身に覚えのないログインや取引に早く気づくためには重要です。
たとえば、ログイン通知、パスワード変更通知、出金通知、登録情報変更通知などをオンにしておくと、異変に気づくきっかけになります。通知が届いたら、メッセージ内のリンクは開かず、公式アプリまたはブックマークからログインして確認しましょう。
偽サイトを避けるログイン手順|SMSリンクよりブックマークを使う
銀行・証券口座のセキュリティでは、「偽サイトを見分ける力」よりも、「偽サイトに行かない習慣」を作ることが重要です。偽サイトは本物に似せて作られるため、スマホ画面だけで毎回正確に見分けるのは簡単ではありません。
警察庁も、電子メールやSMS内のリンクを安易にクリックせず、あらかじめ公式サイトをお気に入りやブックマークに登録したり、公式アプリを活用したりして、正しいサイトに接続するよう案内しています。詳しくは警察庁「フィッシング対策」をご確認ください。
金融口座はSMSやメールのリンクからログインしない
金融機関から届いたように見えるSMSやメールでも、本文内のリンクからログインするのは避けましょう。送信者名が本物に見えても、偽メッセージの可能性があります。
特に「至急確認してください」「口座を停止します」「本人確認が必要です」「不正利用の可能性があります」といった文面は、焦らせてリンクを開かせるために使われることがあります。
証券口座の不正アクセス対策を詳しく確認したい場合は、当サイト内の証券口座の不正アクセス対策とSMSリンクを開かない確認方法も参考にしてください。
公式URLをブックマークして、毎回そこから開く
金融口座へログインするときは、公式URLを確認したうえでブックマークしておき、毎回そこから開くのが基本です。スマホであれば、公式アプリを使うのも有効です。
- 金融機関の公式サイトを、公式情報や契約時の案内から確認する
- 正しい公式URLをスマホのブラウザにブックマークする
- 次回以降はSMSやメールのリンクではなく、ブックマークまたは公式アプリから開く
- ログイン後、公式サイト内のお知らせや取引履歴を確認する
検索結果から毎回ログインページを探す方法も、偽広告や似たドメインを開くリスクがあります。金融口座については、ブックマークまたは公式アプリに入口を固定した方が安全性を高めやすくなります。
重要なお知らせは公式アプリ・公式サイト内で確認する
SMSやメールで「重要なお知らせ」と書かれていても、そのリンクから直接ログインする必要はありません。公式アプリやブックマークからログインし、サイト内のお知らせや通知欄で確認しましょう。
フィッシングSMSの見分け方や、開いてしまった後の対応を詳しく知りたい場合は、当サイト内のフィッシングSMSの見分け方と開いてしまった後の対応も参考になります。
パスキー設定前後に注意したい失敗ポイント
パスキーは便利で安全性を高めやすい認証方式ですが、設定すれば絶対安全というものではありません。設定する場所、端末の管理、機種変更時の復旧方法まで含めて確認することが大切です。
パスキー登録も公式アプリ・公式サイトから行う
パスキーを登録するときも、SMSやメール内のリンクから進めるのは避けましょう。日本証券業協会は、パスキー登録時にフィッシングサイトへ誘導し、不正にログインされた状態で利用者本人にパスキーを登録させることなどが懸念されると案内しています。
そのため、パスキー設定のお知らせを見た場合でも、メッセージ内リンクではなく、公式アプリまたはブックマークからログインして設定画面を確認してください。
⚠️ パスキー設定時こそリンクに注意
「パスキーを設定してください」というSMSやメールが届いても、そのリンクからログインしないでください。公式アプリまたはブックマークから開き、自分でセキュリティ設定画面を確認する流れにしましょう。
機種変更・紛失時の復旧方法を事前に確認する
パスキーはスマホと深く関係する認証方式です。そのため、スマホの機種変更、紛失、故障時にどう復旧できるかを確認しておく必要があります。
AppleのパスキーはiCloudキーチェーンを使ってデバイス間で同期される場合がありますが、Apple Account自体の保護も重要です。Appleは、iCloudキーチェーンを使うApple Accountでは2ファクタ認証が必須になることや、復旧用の連絡先設定についても案内しています。
AndroidやGoogleアカウントを利用する場合も、Googleアカウントの保護、画面ロック、復旧用のメールアドレスや電話番号の確認が重要です。パスキーを設定する前に、スマホ本体の画面ロック、OSアップデート、Apple AccountやGoogleアカウントの保護も見直しましょう。
パスキー非対応なら、使える多要素認証と通知を優先する
利用している銀行・証券会社が、まだパスキーに対応していない場合もあります。その場合は、パスキーが使えるようになるまで待つだけではなく、今使える対策を有効にしましょう。
| 確認項目 | 目的 | 優先度 |
|---|---|---|
| ログイン時の多要素認証 | パスワードだけでログインされるリスクを下げる | 高 |
| 取引時・出金時の追加認証 | 重要操作の前に追加確認を入れる | 高 |
| ログイン通知・取引通知 | 身に覚えのない操作に早く気づく | 高 |
| パスワードの使い回し防止 | 他サービスから漏れた情報の悪用を防ぎやすくする | 高 |
| スマホOSとアプリの更新 | 既知の脆弱性を悪用されにくくする | 中 |
パスキーが使える場合は設定を検討し、使えない場合でも、ログイン時・取引時・出金時の追加認証と通知設定を優先してください。
不審なログインや取引に気づいたときの初動
通知や履歴を確認して、身に覚えのないログインや取引に気づいた場合は、落ち着いて公式ルートから確認します。焦ってSMSやメール内のリンクを開くと、さらに偽サイトへ誘導されるおそれがあります。
SMSリンクは開かず、公式アプリかブックマークから確認する
不審な通知が届いたときほど、メッセージ内リンクを開かないことが重要です。公式アプリまたはブックマークからログインし、ログイン履歴、取引履歴、出金履歴、登録情報変更履歴を確認してください。
身に覚えのない操作があれば金融機関の公式窓口へ連絡する
金融庁は、身に覚えがないログインや取引など、自分の口座に不審な点があった場合には、各証券会社等のお問い合わせ窓口へ確認するよう案内しています。
銀行口座でも、身に覚えのないログイン、送金、登録情報変更、通知設定の変更などに気づいた場合は、利用している金融機関の公式窓口へ連絡してください。連絡先は、SMSやメール内の電話番号ではなく、公式サイトや公式アプリに掲載されている窓口から確認しましょう。
パスワード変更・認証設定・証拠保存を落ち着いて行う
不審なログインや取引が疑われる場合は、公式案内に従ってパスワード変更や認証設定の見直しを行います。あわせて、ログイン履歴、取引履歴、通知内容、届いたSMSやメールの文面、URLなどを保存しておくと、問い合わせ時に状況を説明しやすくなります。
ただし、焦って複数の操作を同時に進めると、状況が分かりにくくなることもあります。まずは公式窓口へ連絡し、指示に沿って必要な手続きを進めましょう。
よくある質問(FAQ)
SMS認証は使わない方がよいですか?
SMS認証自体を否定する必要はありません。ただし、SMSやメール内のリンクから開いた画面に認証コードを入力しないことが重要です。使える場合は、パスキー、認証アプリ、アプリ通知、ログイン通知などと組み合わせてください。
パスキーを設定すれば銀行・証券口座は完全に安全ですか?
完全に安全とは言えません。パスキーはフィッシングに強い認証方式ですが、公式ルートから設定すること、スマホ本体や保存先アカウントを守ること、通知で異変に気づくことも必要です。
銀行や証券会社はすべてパスキーに対応していますか?
対応状況は金融機関ごとに異なります。利用中の銀行・証券会社の公式アプリ、公式サイト、公式ヘルプで確認してください。対応していない場合は、現時点で使える多要素認証や通知設定を優先しましょう。
ブックマークはどのページを登録すればよいですか?
金融機関の公式ログインページや公式サイトのトップページなど、公式情報で確認したURLを登録します。SMSやメール内リンク、検索広告経由で開いたページをそのまま登録するのは避け、必ず公式情報から確認してください。
不審なログイン通知が来たら最初に何をすべきですか?
通知内リンクを開かず、公式アプリまたはブックマークからログイン履歴・取引履歴を確認してください。身に覚えがなければ、利用している金融機関の公式窓口へ連絡します。
まとめ:銀行・証券口座はSMS認証だけに頼らず設定を見直そう
この記事では、銀行・証券口座をスマホで守るためのパスキー設定、多要素認証、通知設定、ブックマーク運用について解説しました。
- SMS認証は有効だが、それだけで安心とは言い切れない:SMSやメール内リンクから偽サイトへ入ると、認証コードまで盗まれるおそれがあります。
SMS認証を否定するのではなく、SMSリンクからログインしないことを基本にしましょう。
- 金融口座は公式アプリまたはブックマークから開く:偽サイトを見分けようとするより、最初から公式ルートに入口を固定する方が安全性を高めやすくなります。
正しい公式URLを確認し、スマホのブラウザにブックマークしておきましょう。
- 使える場合はパスキーや多要素認証を設定する:パスキーはフィッシングに強い認証方式として注目されています。
ただし、対応状況は金融機関ごとに異なるため、公式アプリや公式ヘルプで確認してください。
- ログイン・取引・出金・登録情報変更の通知を確認する:通知は、不正アクセスを早く見つけるための重要な仕組みです。
ログイン通知、取引通知、出金通知、パスワード変更通知などを確認しましょう。
- 不審な通知が来たら公式ルートから確認する:メッセージ内リンクを開かず、公式アプリまたはブックマークからログインして状況を確認します。
身に覚えのない操作があれば、金融機関の公式窓口へ連絡してください。
銀行・証券口座のセキュリティ対策は、特別な知識がないとできないものばかりではありません。まずは、SMSリンクを開かない、公式URLをブックマークする、使える認証と通知をオンにする。この3つから見直してみてください。
