SBI証券、認証用パスワード「有効期限切れてからメールが」の声続出　現在は復旧も...40秒ごと更新「短い」の声も

   SBI証券で、ユーザーのログイン端末を認証する「デバイス認証」に必要な専用URLを記載したメールが、ワンタイムパスワードの有効期限内に届かずログインできないとする報告が、2025年8月13日にSNS上で相次いだ。SBI証券は「システム処理上の問題が発生し影響が出ておりました」と説明した。影響があったのは数十分で、現在は復旧しているという。

8月9日からデバイス認証の仕様を新方式に

   SBI証券では、8月9日からセキュリティ強化のためのデバイス認証の仕様を「認証コードをEメールで送信する方式」から、「認証コード入力画面のURLを送信する方式」に変更した。リアルタイムフィッシング詐欺の偽サイトによる被害を防ぐ効果が期待されるという。公式サイトによると、以下の手順となる。

   まず、ユーザーネームとパスワードを入力してサイトにログインする。すると、「Eメールを送信する」ボタンが表示される。これを押すと、ワンタイムパスワード（認証コード）が表示されるとともに、登録したメールアドレスにワンタイムパスワードの入力画面のURLを記載したメールが届く。届いたURLを開き、ワンタイムパスワードを入力する。その後、サイトの画面に戻り「デバイスを登録する」ボタンを押すと完了だ。

   ワンタイムパスワードは、「Eメールを送信する」を押してから40秒間隔で5回まで自動的に更新されるという。

   なお、この仕様は「2025年秋頃に導入を予定する『FIDO2（パスワードレス認証）』の提供開始までの間、現在提供するセキュリティ機能におけるフィッシング耐性の向上」のためと説明されている。

   しかし、13日午前にXでは、「全然メールが来なくてログインできないんだが」「なんで有効期限が切れてからメールが届くんや？」といった声が相次いだ。

   14日にJ-CASTニュースの取材に応じたSBI証券の広報担当は、13日に「システム処理上の問題が発生し影響が出ておりました」と明らかにした。影響が出ていたのは一部のユーザー、かつ数十分だったという。

GoogleやMicrosoftでは30秒ごとに更新

   またXでは、ワンタイムパスワードの有効期限が40秒では短く、操作が間に合わないとする声も寄せられている。サイトの画面とメールに届いたパスワードの入力画面とを行ったり来たりしなければならず、以前より操作が複雑化していると感じている人が多いようだ。

   これに対し前出の担当者は、GoogleやMicrosoftの認証システムでも30秒ごとにワンタイムパスワードが更新される仕組みを取っており、これらも参考にしつつ、「メールでURLリンクを送るということも踏まえ、調整した結果」、40秒に設定したと説明した。

   「お客様が慣れてこられたらそこまで手間取ることはないのかなと考えている」としつつ、仕様について「お客様の声とセキュリティ対策とのバランスを取りながら調整して、社内で検討を進めていく」とした。