SBI証券のID/PWを変更しました

どーも、虎爺です。

SBI証券にログインすると下記のようなアナウンスがあったので、すぐにユーザーネーム、ログインパスワード、取引パスワードを変更しました。

【重要】パスワード変更のお願いとログインパスワードおよび取引パスワードのリセットについてのお知らせ

要約
・不正アクセス防止のためにユーザーネーム、ログインパスワード、取引パスワードの３つを変更しなさい
・特に、ログインパスワード、取引パスワードを変更しなければ強制リセットする
・リセットされた場合、めんどくさい手続きが必要(の可能性がある)で、取引に支障が出る(と思われる)

変更しなければ強制リセットされ、しかもオンラインでは完結しないというめんどくささです。口座をお持ちの方は必ず期日までに対応しましょう。

さて、SBI証券がこんなめんどくさい(けど重要な)ことをするのには理由があります。先日、不正ログインにより勝手に株を売却され出金されたという事件がおきましたからね。

悪意のある第三者による不正アクセスに関するお知らせ

以前は、誕生日等の安易なパスワードを作ったり、それらを記したメモをユーザが盗まれたりで不正アクセスされるというのが主流でしたが、最近は他企業が流出させたID/PWを基にログインされる事件が多いです。つまり、同一のIDやパスワードを使い回すことが危ないんですね。

さらに、セブンペイではユーザーに過失がないのにアカウントを乗っ取られる仕様でした。たまったものじゃないですね。二度とセブン&アイグループのサービスは使いたくないです。

また、頻繁にPWを変更させるシステムはあまり良くないですね。なぜならば、簡単なPWをだったり使いまわしのPWを設定しやすくなってしまうからです。

例えば、下記のようなサイクルでまわすと、また同じPWに戻ったり、そもそもが簡単すぎますね。
abc111→abc222→abc333→abc111

これについては、数年前に総務省が方針転換しました。頻繁なパスワード変更から、複雑なパスワードにしましょうと。

安全なパスワード管理

以下、斜字部分は総務省HPから引用
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。

（※１） NIST SP800-63B（電子的認証に関するガイドライン）
（※２） https://www.nisc.go.jp/security-site/handbook/index.html

残念ながら私が勤める会社の各種システムはまだ頻繁にパスワード変更を求めてきます。基本的にシステムは5年スパンで更改してるので、しょうがないかなとは思いつつ、通信系企業なので早く堅牢かつ効率的なシステムに変えてほしいです。

最後は少し脱線しましたが、SBI証券に口座をお持ちの方は必ずユーザーネームとパスワードを変更しましょう。期日は2021年1月20日9時00分です。

それでは、また