フィッシング詐欺の激増と規制強化の背
香港の市場規制当局であるSFC(証券先物委員会)は、インターネット証券会社および認可を受けたVATP(仮想資産取引プラットフォーム)に対し、顧客認証の抜本的な強化を命じた。
この措置の背景には、近年深刻化しているサイバー犯罪がある。香港コンピューター情報通信技術評価機構(HKCERT)によると、2025年のサイバーセキュリティインシデントは前年比27%増の15,877件と過去最多を記録し、そのうち実に57%をフィッシング攻撃が占めた。
暗号資産や投資口座を狙う手口は巧妙化しており、従来のOTP(ワンタイムパスワード)は偽のログインページやなりすましメッセージによって傍受・改ざんされるリスクが浮き彫りになっている。そのためSFCは、顧客をアカウント乗っ取りの脅威から守るべく、OTP依存からの脱却を決定した。
12カ月以内の完全移行と企業の責務
SFCは2026年7月9日(木曜日)に通達を発行し、顧客ログインやデバイス登録におけるOTPの使用を段階的に禁止する方針を示した。
すべての対象企業は、通達発効から12カ月以内に新たな規制に完全準拠する必要があり、顧客基盤が広く不正リスクが高い大手ブローカーに対しては、資産流出のスピードを考慮し、直ちに移転作業を開始するよう促している。
今後は、SMSやメールでのコード送信に代わり、フィッシングに強い「パスキー」や、暗号化技術で認証された「登録済みデバイス」や「ハードウェアセキュリティキー」といった最新の認証方式への切り替えが義務付けられる。
包括的なセキュリティ対策と経営陣の責任
SFC仲介部門のイップ・チーハン(Yip Chi-hang)執行部長は、顧客口座の保護には「予防・検知・対応・顧客教育」を組み合わせた総合的なアプローチ不可欠であると強調しており、プラットフォーム運営会社には、以下の対応が求められる。
・異常検知: 不審なログインや異常な取引・出金パターンを検知するシステムの構築
・迅速な通知・対応: 重要な口座操作時の顧客への即時通知と、ハッキング発生時の遅滞なき対応
・注意喚起: 最新の詐欺手口に関するユーザーへの定期的な警告
なお、経営陣は内部統制に対して直接的な責任を負い、統制の不備によって顧客に損失が生じた場合、企業側が法的責任を問われる可能性がある。
世界的な脅威と強固な認証へのシフト
フィッシング被害は香港に留まらず、世界の暗号資産業界全体を脅かしている。2026年上半期だけで、フィッシング詐欺による暗号資産の損失額は3億6,600万ドル(約593.3億円規模)に達した。偽のGoogle広告や悪意のあるスマートコントラクトへの署名、アドレスポイズニングなどにより、個人投資家が数百万ドル規模の資金を瞬時に失う事例が相次いでいる。
こうした事態を受け、米国のCISA(サイバーセキュリティ・インフラストラクチャーセキュリティ庁)なども、再利用可能な認証情報への依存を減らすため、FIDO(※1)やWebAuthn(※2)といった強固な認証方法の導入を推奨しています。香港の今回の決定は、Web3および金融分野におけるグローバルなセキュリティ基準に合致した、極めて重要な防衛策と言える。
IDとパスワードの代わりに生体認証(顔や指紋など)やセキュリティキーを用いて本人確認を行う、パスワードレス認証の国際標準規格
(※2)WebAuthnとは…
Webサービスでパスワードの代わりに指紋認証や顔認証など、デバイスの機能やセキュリティキー=生体認証を使って安全にログインするための規格
























