COVID-19のパンデミックは、あらゆる面で私たちの生活を停止、あるいは混乱させるなど、大きな影響を及ぼしてきた。一方で、未来をうかがわせるような新たな機会も生まれており、既にスタートしていた、いくつもの研究開発もそのスピードを増している。顕著な例としては、オンラインバンキングや決済サービスの急速な普及が挙げられるだろう。オンライン株取引プラットフォームも例外ではなく、誰もが一夜にして大富豪になったり、あるいは無一文となったりする（あるいは、その間の状態に）機会を与えてきた。

株取引アプリの急激な浸透によって、サイバーセキュリティに焦点が当たるのは当然のことだ。事実、オンライントレーダーは多くの脅威にさらされている。具体的には、詐欺アプリや認証情報を詐取するフィッシング攻撃、さらには利用中の株取引アプリの脆弱性を悪用した攻撃も含まれる。

2017年から2018年にかけて、IOActive社のセキュリティ・コンサルタントであるアレハンドロ・エルナンデス氏は株取引アプリについて広範囲の調査を行い、その結果、株取引アプリのセキュリティは厳しく見直されることとなった。同氏は、合わせて40に上る有名な株取引プラットフォームの中から、16のデスクトップ・アプリケーション、34のモバイルアプリ、そして30のWebサイトにおけるセキュリティ対策の状況を調べている。発表から2年以上が経過した今、オンライン株取引がどれほど安全か、あるいは危険かについて見解を得るため、アレハンドロ氏に話を聞いた。

アレハンドロさん、お越しいただきありがとうございます。株取引アプリのセキュリティについて伺う前に、あなたの研究分野について教えていただけますか？

お招きいただき、ありがとうございます。
セキュリティ研究に関しては、私は様々な分野を手掛けてきました。コードレビューから、オープンソース・インテリジェンス（OSINT）、さらには、自動車の遠隔制御アプリの詳細調査まで含まれます。近年は、フィンテック（ファイナンステクノロジー）に重きをおいて、特に株取引アプリの研究を行っています。

興味深いですね。なぜ株取引アプリに注目するようになったのですか？

主な理由としましては、ここ数年、個人的に証券取引を行っていて、技術的にどれほど安全であるか興味を抱いたことが挙げられます。極めて安全だと思っていましたが、後に自分が間違っていたと気付かされました。これは自分が利用しているテクノロジーに対してよく見られる一般的な傾向ですが、セキュリティ研究者が実際は危険だと報告するまで、そう思い込んでいるものです。

そう言われると不安になりますね。株取引アプリのユーザーは、資産やデータの盗難リスクについて配慮するべきでしょうか？

いや、正直なところ、それほどではありません。私の見たところ、プラットフォーム自体は安全性が高く、攻撃者がユーザーのアカウントから資金を盗み出すのは容易ではありませんし、映画のように単純な話ではありませんね。

一方で、銀行のアプリほど安全ではないプラットフォームが多いのも事実です。例えば、私が調査した株取引アプリの約半数は、取り引きに関するデータを暗号化せずに保管していました。これは、マルウェア等を介して、攻撃者がユーザーのパソコン内のファイルシステムにアクセスした場合、データが容易に抜き出されることを意味します。モバイルアプリの場合、最新のモバイルOSは初期設定でデータを暗号化しているものの、スマートフォン（以下、スマホ）が盗難され、ロックが解除されてしまうと、やはりデータが盗まれてしまいます。コンピューター内にある他の暗号化されていないバックアップデータについても同様ですね。

あなたは様々なOSやデバイスを使って、大手企業を含む、16のデスクトップ・アプリケーション、34のモバイルアプリ、30のWebサイトを調査されました。控えめに言っても、その調査規模は大きかったですね。ここが「鉱脈」になり得るという直感があったのでしょうか、それとも単に方法論に従っただけでしょうか？

アプリの詳細な調査を始める前に、比較的小規模な株取引アプリなら不具合が見つかってもおかしくないという感覚がありました。しかしそれは間違いでした。大手の取引業者が提供する株取引アプリからも「面白いもの」が見つかったのです。とはいえ、それぞれのアプリを検証するのに、厳密なチェックリストに基づいた方法論も役に立ちました。

あなたは調査の中で、デスクトップ・アプリケーションは豊富な機能を有しているため、攻撃対象となる範囲も広いと主張しています。今現在、多くの人がモバイルアプリを使うようになり、また、モバイルアプリが豊富な機能を備えるようになるにつれ、モバイルアプリのリスクも同様に高まっていくという確証はありますか？ユーザーはモバイルで株取引を行うとき、あまり注意深くならないのではないでしょうか？

デスクトップ・アプリケーションからモバイルアプリへ移行したユーザーの数については、確たる数字や証拠を持ち合わせてはおりません。ただ、よい知らせとしては、新しいモバイルOSはとても安全であり、Windowsコンピューターに比べて、モバイルデバイスを攻撃するのは難しいということです。モバイルの株取引アプリは、ここ数年で急激に改善されていて、セキュリティの改善も含め、証券会社がアプリを更新する頻度も増えています。

一方で、最近では株取引のデスクトップ・プラットフォームにおいて、セキュリティに関する問題を耳にすることもありません。あとはサービスの可用性の話ですが、これはデスクトップにもモバイルにも共通することです。

あなたの調査を受けて、証券会社はどのような対応をとりましたか？不具合は修正されましたか？2017や2018年当時に比べ、株取引プラットフォームはより安全になりましたか？

最大手の証券会社は、私たちが送付したセキュリティレポートに対して、とても素早く反応しました。彼らは顧客保護に熱心であり、サイバーセキュリティにもより多くの予算を向けているからだと思います。

調査から2年が経過し、株取引プラットフォームには、より多くのセキュリティ対策が導入されました。具体的には、強固なパスワード・ポリシー、二要素認証（2FA）です。また、ログインの成功・失敗、売買の注文、あるいは資金の預け入れ・引き出し、といった操作に関する様々なオプトイン通知も導入されるようになりました。株取引プラットフォームは、2年前に比べて確かに安全になっています。

それは喜ぶべきことですね。それでも、ユーザーはセキュリティを軽んじるべきではないと思います。株取引アプリへの典型的な攻撃手法には、どのようなものがありますか？

銀行口座との連携といった重要な操作を行うための二要素認証は、徐々に普及してきてはいるものの、導入していないユーザーは大勢います。そこで攻撃者はパスワードを推測するか、総当たり攻撃を仕掛けます。攻撃に成功すると、ユーザーが保有する株を勝手に売り、攻撃者が管理する銀行口座へ資金を移動させてしまいます。

最近、株取引アプリ「Robinhood」のアカウント侵害が複数報告されました。私は、被害者が複数のアカウントでパスワードを使い回したり、二要素認証を導入していなかったのではないかと考えています。

それは重要な気づきを与えてくれますね。株式アプリのユーザーは、安全に取り引きをするために、何をすればよいのでしょうか？

昨年、私は安全に株取引アプリを使うためのヒントについて、オンラインセミナーで講演を行いました。概要をお伝えしますと、ユーザーは以下の対応を行うべきだと考えています。

• 新しい銀行口座と連携させるなど、重要な操作では二要素認証を有効化する
• モバイルアプリの認証にFaceIDまたはTouchIDを有効化する
• 公共のWi-Fiネットワークを使わない
• Eメールや銀行アプリとは異なるパスワードを使用する。パスワードを複雑なものにする
• 一定時間使用していない際の自動ログアウト機能を有効にする
• EメールまたはSMSの通知を有効化する

ここで、セキュアコーディングについて考えてみましょう。あらゆるソフトウェアには脆弱性リスクがあります。株取引アプリのセキュリティリスクを軽減するために、開発者はどうすればよいでしょうか？

興味深いことに、ある金融機関によって開発された株取引アプリは、同じ会社の別グループによって開発された銀行アプリに比べ、安全ではないことが分かりました。私は、開発チームのコミュニケーション不足に起因した問題だと考えています。セキュアコーディングのポイントや経験を共有したり、互いのソフトウェアをテストしたりすることで、提供する全ての製品についてセキュリティを高めるよう、セキュリティチームは協力すべきだと考えています。

また、株取引アプリは金融に関する深い知識を持つ技術者によって開発されていますが、セキュアプログラミングについては明らかにそれらのトレーニングが不十分です。

サイバーセキュリティのリスクを軽減するのに、金融業界や規制当局など、他の関係者は何ができるでしょうか？

規制当局や評価機関もしっかりと関与するべきです。
使い勝手や手数料、顧客サポートなどについて、証券会社のアプリを比較するトレーダーの間で人気のWebサイトがありますが、その中でセキュリティについては考慮されていません。こうした比較サイトの項目にもセキュリティを含めるべきでしょう。

規制当局は、フィンテック企業に対して安全な開発手法について指導すべきです。また大規模な開発を開始する前に、株取引プラットフォームが最低限満たすべき要件について、チェックリストを公開することも必要でしょう。長期的には、PCI DSS（PCI・データ・セキュリティ・スタンダード：クレジット業界におけるグローバルなセキュリティ基準）のような規制を設けて、証券会社を監査するのに規制当局が積極的に関わるべきだと考えています。

アレハンドロさん、ありがとうございました。

こちらこそ。