香港証券先物委員会(SFC)は、認可された仮想資産取引プラットフォームやインターネットブローカーに対し、顧客のログインやデバイス登録に使用されるワンタイムパスワード(OTP)の廃止を12ヶ月以内に実施するよう命じました。この指示は、なりすまし攻撃の増加を背景としています。香港サイバーセキュリティインシデント調整センターのデータによると、2025年には報告されたセキュリティインシデントの57%を占めていました。規制当局は、OTPを用いた認証だけではフィッシングやなりすまし、詐欺行為に対抗できなくなっていると指摘し、ユーザーを騙してログインコードを渡させ、攻撃者がアカウントにアクセスしたり、新しいデバイスを登録したり、取引や出金を試みたりすることを防ぐ必要があると述べています。
SFC、パスキーとデバイスバインディングによる認証を義務付け
この通知では、企業に対しOTPの使用を停止し、より強力な認証方法であるパスキーやデバイスバインディングへの移行を求めています。実施は「できるだけ早く」行うべきとされており、最終期限は通知発行日から12ヶ月と定められています。大手インターネットブローカーには、直ちに新しい認証方法を採用するよう指示されました。パスキーはフィッシングページから盗まれる可能性のあるコードへの依存を減らし、デバイスバインディングはアカウントアクセスを信頼できるデバイスに限定し、不正ログインの困難さを高めます。
認可された企業は監視体制と顧客通知を強化
認可企業は、不審なログインや取引、出金活動を検知できる監視システムを強化しなければなりません。具体的には、異常なアクセスパターンや新しいデバイスの活動、異常な注文行動、アカウントの乗っ取りを示す出金リクエストなどを監視します。また、重要なアカウント活動について顧客に迅速に通知し、ハッキング事案に適切に対応することも求められています。顧客教育も義務付けられており、定期的になりすまし詐欺やフィッシング、サイバーセキュリティの新たなリスクについて警告を行う必要があります。
SFCのインターメディアリー部門のエグゼクティブディレクター、葉志鴻氏は、「ますます高度化・多様化するフィッシング攻撃から顧客アカウントを守るためには、防止、検知、対応、教育を包括的に行う必要があります。認可機関は堅牢な認証ソリューションを通じて第一防衛線を強化し、不審な活動に対して警戒を怠らず、被害が拡大する前に迅速に対応すべきです」と述べています。
経営層はアカウント保護の最終責任を負う
SFCは、認可企業の経営層に対し、顧客アカウントと資産を守るための適切な管理体制の最終責任があることを再認識させました。規制当局は、内部管理の不備により顧客が損失を被った場合、企業が責任を問われる可能性があるとしています。この方針は、インターネットブローカーと仮想資産取引プラットフォームの両方に適用され、従来の証券市場と暗号資産市場のオンライン金融アクセスの基準を共通化しています。
よくある質問
香港の暗号プラットフォームやブローカーは、OTPに代わるどの認証方法を採用すべきですか?
パスキーやデバイスバインディングなど、より強力な認証方法を採用すべきです。パスキーはフィッシングページから盗まれるリスクを減らし、デバイスバインディングは信頼できるデバイスにアカウントアクセスを限定します。
なぜSFCはOTPログインの段階的廃止を命じたのですか?
香港サイバーセキュリティインシデント調整センターのデータによると、2025年には報告されたセキュリティインシデントの57%がなりすまし攻撃によるものであり、規制当局はOTP認証だけではフィッシングやなりすまし、詐欺に対抗できなくなっていると判断しました。
企業がSFCの新しい認証要件に従う期限はいつですか?
通知発行日から12ヶ月以内にOTPの廃止とデバイス登録のための新認証方法への移行を完了させる必要があります。大手インターネットブローカーには、直ちに新しい認証方法を採用するよう指示されています。