香港SFC、ブローカーおよび暗号資産プラットフォームに対し、OTPをパスキーに置き換えるよう命令

MSFT0.33%

香港の証券先物委員会(SFC)は、7月9日に公表した要件の中で、インターネット・ブローカーおよび認可された仮想資産取引プラットフォームに対し、一度限りのパスワード(ワンタイムパスワード)をフィッシング耐性のある認証方法に置き換えるよう命じた。各社は12か月以内に、より強固なログインおよび端末(デバイス)紐づけの管理を実装しなければならず、大手ブローカーは直ちに導入を開始することが見込まれる。この指令は、2025年に香港コンピュータ緊急対応チーム・コーディネーション・センターへ報告されたサイバーセキュリティ事故のうち57%を占めたフィッシング攻撃に対処するものだ。SFCは、従来のワンタイムパスワードは、オンライン取引口座を狙うますます巧妙化するフィッシング・キャンペーンに対してはもはや十分ではないと述べた。今回の措置は、香港がデジタル資産企業に対し、従来の金融機関に課しているのと同等の規制基準を求める方針を強化するものだ。

SFC、口座保護にOTPはもはや不十分と宣言

SFCは、インターネット・ブローカーおよび仮想資産取引プラットフォームの運営事業者に対し、クライアントのログインと端末の紐づけの双方にワンタイムパスワードを使うのをやめるべきだとした。より安全な認証技術が現在、広く利用可能になっているためである。規制当局は、フィッシングの被害者が資格情報をだまし取られたとしても攻撃者がアクセスを得るのを防ぎ得る、フィッシング耐性のある認証方法の例として、パスキーとデバイス紐づけを挙げた。

デバイス紐づけは、顧客の取引口座を、安全に登録されたコンピューターまたはモバイル端末に、固有の端末特性を用いて結び付けるものであり、不正な端末からログインされるのを犯罪者にとって大幅に難しくする。SFCは2025年2月、サイバーセキュリティの見直しを受けて、OTPベースの認証に関連する脆弱性についてまず企業に警告していた。今回の最新の通達は、その指針を規制上の要件に格上げするものだ。

暗号プラットフォームにも伝統的なブローカーと同じ認証基準

新たな要件は、認可された証券ブローカーと仮想資産取引プラットフォーム運営事業者の双方に対して同様に適用される。より強力な認証に加え、各社は、不審なログインの試行、通常でない取引、異常な出金依頼を検知できる効果的なモニタリング体制を導入しなければならない。また、重要な口座イベントについて顧客に速やかに通知し、ハッキング事案には迅速に対応し、さらに新たなフィッシング・キャンペーンやその他のサイバー脅威について定期的に顧客へ警告することが求められている。

SFCは、上級経営陣が最終的に顧客資産の保護に責任を負い続けると述べ、サイバーセキュリティ管理が不十分で損失が生じた場合、企業が責任を問われ得ると警告した。SFCの取次事業担当のエグゼクティブ・ディレクター、エリック・イップ博士は次のように述べた。「ますます巧妙で捕まえにくいフィッシング攻撃から顧客口座を守るには、防止、検知、対応、教育を組み合わせた包括的な対策が必要です。認可された企業は、堅牢な認証ソリューションで防衛の第一線を強化し、不審な活動に常に警戒を払い、危害が及ぶ前に迅速に対応してください。」

パスキーがフィッシング耐性技術として規制面で支持を獲得

従来の資格情報とは異なり、パスキーはユーザーの端末に紐づいた暗号学的な認証に依存しており、フィッシングサイトを通じて容易に傍受されたり再利用されたりすることはできない。Apple、Google、Microsoftといったテクノロジー企業はすでに、パスキーのサポートを各社のOSに組み込んでいる。一方で、銀行やフィンテック企業も顧客認証のために同技術の導入を始めている。ブローカーや暗号取引所にとっては、サイバー犯罪者が、現金、証券、デジタル資産への即時アクセスを提供し得る取引口座を狙う中で、より強力な認証がますます重要になっている。

SFC、投資家に基本的なサイバーセキュリティ実践の順守を促す

技術的な管理に加えて、SFCは投資家に対し、強力で固有のパスワードを使用すること、端末を最新の状態に保つこと、公式のウェブサイトおよびアプリからのみ口座にアクセスすること、そして不正な活動について口座明細を確認することなど、基本的なサイバーセキュリティ実践を引き続き守るよう求めた。規制当局は、資格情報が侵害された疑いがある投資家に対して、直ちに自社のブローカーまたは仮想資産プラットフォームに連絡し、口座を保護し、事案を関係当局へ報告するよう助言した。

FAQ

香港SFCは、ブローカーや暗号プラットフォームに何の認証方法を置き換えるよう命じたのか?

SFCは、7月9日に公表された要件の中で、インターネット・ブローカーおよび認可された仮想資産取引プラットフォームに対し、一度限りのパスワードを、パスキーやデバイス紐づけのようなフィッシング耐性のある認証方法に置き換えるよう命じた。

なぜSFCは取引口座に対してより強い認証を要求したのか?

SFCは、2025年に香港コンピュータ緊急対応チーム・コーディネーション・センターへ報告されたサイバーセキュリティ事故のうち57%を占めるフィッシング攻撃を根拠に、オンライン取引口座を狙うますます巧妙化するフィッシング・キャンペーンに対しては従来のワンタイムパスワードではもはや不十分だと述べた。

新しい認証要件の導入期限はいつか?

各社は、7月9日の公表日から12か月以内に、より強いログインおよびデバイス紐づけの管理を実装しなければならない。大手ブローカーは、これらの措置を直ちに導入し始めることが見込まれている。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし