
香港証券先物委員会、仮想資産取引所にOTP廃止を命令…2027年7月までにフィッシング防止認証の導入を義務付け
香港証券先物委員会(SFC)は、仮想資産取引所およびオンラインブローカーに対し、2027年7月までにワンタイムパスワード(OTP)の使用を停止し、フィッシング防止認証体系を導入するよう命じた。セキュリティのアップグレードを履行しないプラットフォームは、ユーザーの損失を全額補償しなければならない。
香港証券先物委員会(SFC)は、進化するサイバー脅威からデジタル資産エコシステムを保護するため、強力な規制案を発表した。SFCは、すべての仮想資産取引プラットフォーム(VATP)およびオンラインブローカーに対し、2027年7月8日までに従来のワンタイムパスワード(OTP)方式を段階的に廃止し、フィッシング防止認証(Phishing-resistant authentication)を導入するよう期限を定めた。
通達26EC35を通じて公開された今回の指針は、投資家をアカウント乗っ取りやAIベースのフィッシング攻撃から保護するため、FIDO2などの暗号化標準およびハードウェアキーへの移行を強制する。これは、香港が安全なグローバルデジタル資産ハブとして生まれ変わるためのセキュリティインフラの根本的な体質改善を意味し、規制当局がセキュリティ事故に対するプラットフォームの責任をより厳格に問うという意志の表れと解釈される。
SFCは、仮想資産取引プラットフォーム(VATP)およびオンラインブローカーに対し、顧客のログインおよびデバイスバインディングの過程でOTPの使用を停止するよう求めている。最終的な遵守期限は2027年7月8日に設定され、約1年の猶予期間が与えられているが、セキュリティ監視および事故対応の義務は2026年7月10日から直ちに発効する。
SFCは、フィッシング攻撃や顧客アカウントの乗っ取り事件に対応するため、オンラインブローカーとVATPがOTPの使用を停止することを要求する。これは、従来方式の危険性と、より強力な認証代替手段の存在を考慮した決定である。
伝統的なOTP方式は、もはや高度化する攻撃を防ぐには不十分であるというのが規制当局の判断だ。SMSやメールによる認証コードは、SIMスワッピング(SIM swapping)や精巧に設計されたフィッシングサイトを通じて傍受されやすく、ユーザーの不注意を悪用するMFA疲労攻撃にも脆弱であるため、セキュリティ上の欠陥が継続的に指摘されてきた。
セキュリティ標準の転換と技術的必然性
フィッシング耐性のあるMFAは、非対称鍵暗号化プロセスを使用することで、攻撃者が偽のログインページを通じて認証情報を傍受したり再利用したりすることを構造的に不可能にする。FIDO2およびパスキー(Passkeys)標準は、デバイスバインディングとドメイン検証を組み合わせることで、ユーザーが意図しないサイトに認証情報を提供することを根本的に遮断し、これは従来の共有秘密方式よりもはるかに優れたセキュリティを提供する。
- 2026年7月10日からセキュリティ監視および事故対応義務を即時施行
- FIDO2標準およびハードウェアセキュリティキー導入のための技術的検討に着手
- パスキー(Passkeys)の使用に関するユーザー教育および案内の強化
- 2027年7月8日までにすべてのOTPベースの認証システムの完全な交換を完了
SFCは、プラットフォームに対して技術的なアップグレードと財務的責任のいずれかを選択させる独自の戦略を提示した。規定により、プラットフォームはフィッシング耐性のあるログインシステムを実装するか、セキュリティ事故によって発生するユーザーのすべての損失に対して全額補償および保険適用を保証しなければならない。このような政策は、プラットフォーム運営会社がセキュリティレベルを高めることが長期的にはより経済的な選択となるよう誘導する、強力な金融的インセンティブを提供する。
今回の措置は、2026年6月2日に発表された回覧26EC32と連携した多層的な規制対応の一環である。SFCは、AIを利用したサイバー脅威の増加に伴い、金融部門全体のセキュリティレベルを高めるための一連のガイドラインを継続的に発表しており、これは香港を安全なグローバルデジタル資産ハブにするという意志を反映している。
グローバル市場においても、このようなセキュリティ強化の傾向は顕著に現れている。欧州連合(EU)のMiCA体制下において、欧州証券市場監督局(ESMA)は、暗号資産カストディ機関が十分なセキュリティおよびレジリエンス標準を備えているかについて、より厳格な検討を進めている。香港の今回の規制は、このような国際的な流れに合わせ、地域内のプラットフォームのセキュリティ競争力を世界レベルに引き上げると見られる。
香港の暗号資産プラットフォームは、今後1年間、システム改修のために相当な技術的コストと人員を投入する必要があると予想される。しかし、専門家は、このようなコスト支出が長期的には投資家の信頼を確保し、香港がグローバルなデジタル資産市場において規制上の優位性を占めるために不可欠な投資であると評価している。
セキュリティ事故の発生時にプラットフォームが責任を負うことを明示したのは、ユーザー保護を最優先とする香港当局の規制哲学を示している。これは単なる技術的な変化を超え、暗号資産産業が制度圏金融レベルの成熟度を備えていく過程であり、今後、他の地域の規制当局にとっても重要な参考事例となる可能性が高い。
投資家は、利用しているプラットフォームの告知事項を注意深く確認し、新しい認証方式に適応する準備を整える必要がある。ハードウェアキーや生体認証ベースのパスキーの導入は、初期には多少の手間がかかるかもしれないが、資産保護の側面では従来のOTPとは比較にならないレベルの安全性を提供するためである。


本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。
この記事について話しましょう
ほかの読者の反応を見ながら、自分の意見も残せます。