ESET/マルウェア情報局

オンライントレードを始める前に考慮すべきセキュリティ対策とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はESET Japanが提供する「ESETブログ」に掲載された「セキュリティ対策を考慮しながらオンライントレードを始めるために」を再編集したものです。

 オンライントレードの普及に伴い簡単に取り引きを始めることはできますが、大切な資産を預ける前に、利用するオンライントレードサービスやプラットフォームのセキュリティ対策をしっかりと精査することが必要です。

オンライントレードプラットフォームに大切な資産を預けるのであれば、セキュリティを精査してください

 しばらく前から、私はオンライントレードに密かな関心を寄せていました。しかし、私のような投資の素人は、オンライントレードをどのように始めればいいのでしょうか?仮想通貨を取引するべきでしょうか?外国為替(FX)に投資するべきでしょうか?それとも、一般的な株式取引にするべきでしょうか?

 何から始めるとしても、私が最も重視している条件は、投機的なリスクを低く抑え、プラットフォームや取引所のすべての処理ができる限り安全であり、個人情報が確実に保護され、十分に信頼できることです。

 そのため、私は情報収集を始めました。

オンライントレードの普及

 手数料が無料でオンライントレードができるようになったのは、ここ1年ほど前からです。手数料無料のプラットフォームを最初に構築したアプリ開発ベンダーのひとつはRobinhoodであり、これは2013年にさかのぼります。Robinhoodは、米国でサービスを展開しているフィンテックのスタートアップ企業で、米国の上場株式や上場投資信託の1回の取引あたりの手数料をゼロで提供するサービスを提供することから開始しました。このスタートアップ企業はサービスを拡大し、オプション取引や仮想通貨も扱うようになっています。

 そして、2019年9月、インタラクティブ・ブローカーズ証券が手数料無料化の時流に乗ったことで、ドミノ効果を引き起こしました。翌月の10月には、E*TRADE、TDアメリトレード、チャールズ・シュワブとフィデリティが揃って、仲介手数料の値下げを発表しました。バンク・オブ・アメリカとウェルズ・ファーゴは2ヶ月後に値下げに踏み切りました。2020年には、CMC Markets、Dabble、イートロ、IGも続きました。

 この手数料無料化の流れによって、オンライントレードがさらに普及しました。今、私のメインバンクで取引をする場合、手数料が1回9.95ドルかかります。これは、トレードを始めるかどうかを悩んでいる多くの人にとって障害となっています。しかし、手数料を支払うことで、取引の前に再考する機会が得られるのかもしれません。つまり、愚行と無知に流されることに対する抑止力となる可能性はあります。結局のところ、「無料」というこの新しいビジネスモデルは、よくも悪くも「あなた自身」が製品になることを意味します。

秒単位のサービスの可用性

 個人的な愚行と無知はさておき、私はセキュリティやプライバシーには高い関心があります。Robinhoodのアプリは2週間で3回以上もフリーズし、何百万人ものトレーダーが投資した銘柄が急落するのを為す術もなくただ眺めたり、絶好の機会を指をくわえて逃してしまったことを覚えています。ピーク時の負荷を処理するプラットフォームの能力を適切にプロビジョニングできれば、このような問題を防ぐことができたでしょう。プロビジョニングを適切に行っていても、DDoS(分散型サービス拒否)攻撃を受ける恐れがあるため、トレーダーは取引するプラットフォームがDDoS攻撃を検知してブロックするためのセキュリティ機能を適切に実装していることを信頼する必要があります。

ユーザーアカウントへのアクセス権限の保護

 確かに、Robinhoodのユーザー数は数百万に達しており、このアプリを使用すれば、簡単にトレードを始めることはできると思いますが、まだトレードの方法がよくわかりません。イートロもいいかもしれません。イートロのCopyTrader機能を使用すると、他のトレーダーを見習って自動的に取引することができます。取引の戦略を見て学ぶことができるのです。しかし、CopyTraderを使用して、証券CFD(差金決済)取引を始めてハイリスクの取引を開始したらどうなるでしょうか? 多くの損失を出す可能性もあります。また、62,000件のイートロアカウントへのアクセス情報がダークウェブ市場で販売されていることも発見しました。これは、オンライントレードを始めようという意欲を削ぐ由々しき問題です。

 苦労して稼いだ自分の資産を、プラットフォームを信頼して、預けようとするのであれば、適切なパスワード管理を実践するだけでは十分ではありません。多要素認証(MFA)は利用したいと思います。イートロはMFAを提供していますが、ワンタイムコードがSMSで送信されます。

 ハッカーは、SMSを介して送信されるコードを盗むさまざまな方法を見つけているため、認証アプリからコードを取得する方が、はるかに安全です。たとえば、ハッカーは、あなたのSMSメッセージを傍受したり、モバイルデバイスにワンタイムコードが表示される通知を読んだりすることができます。実際、BTCTurk Pro Betaと呼ばれる悪意のあるAndroidアプリは、トルコの暗号通貨交換所BtcTurkのアプリになりすましていました。このアプリは、通知を読み取り、ワンタイムコードを収集し、通知を無効化し不正なトランザクションが行われていることを被害者に気付かせないようにしていました。

 Robinhoodは、より安全な認証アプリのオプションを提供しています。

信頼を築くのは、厳格なバックエンドのセキュリティ対策

 また、取引プラットフォームのバックエンドシステムが安全であり、データ保護規制に準拠した方法で設定されていることも重要です。取引プラットフォームに口座を開設するには、自分のIDと金融データを共有しなければなりません。セキュリティへの投資が不十分であるために、個人を特定できる情報を盗まれたくはありません。たとえば、Trading 212のプライバシーポリシーでは、システムのセキュリティを評価するための脆弱性の定期的なスキャンや侵入テストについて説明しており、これが信頼につながっています。

自分の財務データの保護

 口座を開設する前には、ユーザーのデータは口座を解約する時に直ちに破棄されるわけではなく、マネーロンダリングの防止と検出を目的としたEUの第4次マネーロンダリング指令((EU) 2015/849)などの法律を遵守するために、最長5年間保存されることにも注意してください。これは、Trading 212をはじめとするEUを拠点とする企業の場合です。

 安全に取引プラットフォームを利用するには、ニュースで報道される最新のデータ侵害についてチェックしておくと良いでしょう。口座を解約してから何年も経過していても、口座があったこれらの会社が最近攻撃を受けた場合は、自分のデータが侵害されていないかどうかを問い合わせ、個人情報が漏えいしていないかを確認してみる価値はあります。ハッカーは通常、ダークウェブの市場でユーザーのデータを販売しようとしたり、特別に細工したフィッシングメールで個人を標的にしたり、詐欺を仕掛ける好機を待っていたします。

さまざまな取引が可能な便利なサービスになりすますトロイの木馬

 しかし、これだけ多くの取引所があると、Kattanaのような「一元的に全てを表示できる」ダッシュボード型のサービスを利用したくなるものではないでしょうか?仮想通貨取引のために、Kattanaはいくつもの人気のある仮想通貨取引所を統合して利用できるようにしており、ユーザーは1つのアカウントからさまざまな取引を行うことができます。

 そして、Kattanaにも似たようなライバルがいます。Cointrazer、Cupatrade、icatrade、Trezarusなどもありますが、これらを模したトロイの木馬も検出されています。私が使用しているMacにKattanaになりすます悪意のあるサービスをダウンロードしてしまうと、ESETサイバーセキュリティプロのようなセキュリティソリューションで保護されていない限り、ブラウザのCookiesや履歴、仮想通貨のウォレットなどが、このような攻撃を背後で操るGMERAマルウェアの運営者に盗まれてしまう可能性が高いのです。

 私はオンライントレードを開始するために、信頼でき、安全にトレードできるような選択肢を未だに検討中です。どのような選択をする場合でも、オンライントレードサービスやプラットフォームのセキュリティ対策を必ず厳格に精査してください。