最近、証券口座が乗っ取りに遭いお金を不正に出金された、というニュースを聞きました。しかも2段階認証を設定しているにもかかわらず、です。

楽天証券だと10種類の絵を2つ選択する二段階認証ですが、SNSでは無制限試行みたいなことを発信している人もいて、酷い煽動ですね。(発信では10*9の90通りしかないのですぐに突破できるように書いてますが、実際は何回か間違えると絵がリセットされるため90通りではない)

二段階認証が設定されていて、突破できる、ということはフィッシングメール+中間者攻撃で突破されたと思われます。具体的な手法は以下に書いてあります。
akaki.io

要は、フィッシングメールで偽サイトに誘導してIDとパスワードを入力させて奪取して、攻撃者が奪取したIDとパスワードを正規のサイトに入力して、正規のサイトから二段階認証の情報(確認コード)が利用者にメールで送付され、偽サイトに確認コードを入力してしまい、攻撃者に通知されてしまう、というものです。

これを防ぐ方法はURLを注意して確認する以外の方法はなく、現代における有効な対策は、メールアドレスやSMSの二段階認証ではなく、FIDOなど生態認証を使うこと、くらいだと思います。

というか自分が使ってる証券口座は、本人確認した自分の名前と口座名義が一致している銀行口座にしか出金できないので、仮に不正ログインされても、株式の売買くらいしかできないのでは、と思ってます。

ただ、今後新しい脆弱性攻撃の可能性もあるので、必要最低限の金額だけ入れておこうと思いました。