香港の証券先物委員会(SFC)は、仮想資産(暗号資産)取引プラットフォームおよびインターネットブローカーに対し、ログイン時のワンタイムパスワード(OTP)の使用を廃止し、フィッシング耐性を持つパスキーなどの強力な認証方法へ移行するよう命じました。この措置は、近年急増するなりすまし(フィッシング)攻撃から顧客のアカウントを守るためのもので、12ヶ月以内の対応が求められています。セキュリティ基準の厳格化により、Web3業界におけるプラットフォームの信頼性やコンプライアンス水準の向上が期待されます。
決定の背景とワンタイムパスワード廃止の理由
香港SFCが発表した通達によると、暗号資産プラットフォームおよびインターネットブローカーは、ユーザーログインやデバイスの紐付けにおいて、従来のワンタイムパスワード(OTP)の使用を中止する必要があります。
背景には、なりすまし(フィッシング)攻撃の急増があります。香港コンピュータ緊急対応チーム協調センター(HKCERT)のデータによると、2025年に報告されたセキュリティインシデント全体の57%をフィッシング攻撃が占めていたとされています。OTPは、ユーザーが偽のログインページなどに入力することでリアルタイムに攻撃者に転送され、アカウントが乗っ取られるリスクがあるため、より強固な代替手段への移行が不可欠と判断されました。
新たな認証要件と今後のスケジュール
代替手段として、パスキー(公開鍵暗号に基づくパスワードレス認証)や、登録された特定の端末からのみアクセスを許可するデバイス紐付け(デバイスバインディング)といった、フィッシング耐性のある認証方法の採用が義務付けられます。
実装のスケジュールは以下の通りです。
- 通達の発行(2026年7月9日)から12ヶ月以内に新しい認証手段を導入すること。
- 大規模なインターネットブローカーについては、直ちに(可能な限り速やかに)新しい認証方法を導入することが期待されています。
プラットフォームに求められる監視体制の強化と業界への影響
今回の規制は、単なるログイン方法の変更に留まりません。暗号資産プラットフォームやブローカーは、不審なログイン、取引、および出金活動を検知するための監視・追跡システムを構築する必要があります。
また、重要なアカウントイベントが発生した際の顧客への速やかな通知や、ハッキング発生時の迅速な対応、顧客へのセキュリティリスクの定期的な注意喚起も義務付けられています。
SFCは、内部管理に不備があり顧客に損失が生じた場合、関連する責任を追及する方針を示しています。プラットフォーム運営企業にとっては、コンプライアンス(法令遵守)コストの増加を伴う一方で、顧客資産の安全性を高め、業界全体の信頼性を向上させる重要な契機になると見られます。
ポイント
- 香港SFCが暗号資産プラットフォーム等に対し、OTPログインの廃止とパスキー等のフィッシング耐性認証への移行を命令しました。
- 背景には、2025年のセキュリティインシデント報告の57%を占めたフィッシング攻撃の急増があるとされています。
- 導入期限は2026年7月9日の通達発行から12ヶ月以内で、大手企業には即時の対応が求められます。
- 認証方法の変更だけでなく、不審な取引の監視体制強化やハッキング時の迅速な対応も義務化されます。
- セキュリティ対策の不備による顧客損失に対しては、運営企業の責任が追及される方針であり、コンプライアンス強化の観点から注目されます。