証券会社のフィッシング対策、認証コードに効果は無いのでは...

証券会社やネットバンクのフィッシング対策に導入されている、多要素認証やデバイス認証

コードをe-mailやSMSで送ってくるのが多いが、これに意味はあるのだろうか

この対策、デバイス認証必須にするから補償はしませんよ的な感じもする

そもそも、フィッシングサイト経由の損失(ユーザー側の過失)を補償していたら、自作自演することで犯罪者は2度収益を上げることも可能になるわけで...

対策の本質は「サイトのドメインを見ろ」

一般的なコード送信

コード送信の場合、フィッシングサイトへ認証済みcookieが送られて、フィッシングサイト側のブラウザが新しいデバイスとして登録されてしまう

PPAPのように同じルート上で入力(①, ④)を行うのでは、ひと手間多いだけ
(ApplePay + イオンカード + iD の不正登録と同じ)

考えられる対策(Webのみを利用した場合)

認証コードの代わりにURLを送り、開いてもらう

(メールのリンクをそのまま開くという時点でどうかとは思うが、1の前に既にそれをやっていると思われる)
フィッシングサイトを経由している場合、ログイン時(ID, PW)のCookieと不一致になりブロック可能

IT漂着メモ