この記事は、6分以内で読めます。
こんばんは。管理人のuncleゆーさん(@UncleYusan)です。
私は、tsumiki証券でエポスカードによるクレカ積立をしています。
しかし、先日、SMSで送られてくるはずのワンタイムパスワード(OTP)が届かず、ログインができなくなるという深刻なトラブルに遭遇しました。
すぐにtsumiki証券に連絡をしましたが、その問い合わせから復旧までの過程で明らかになったのは、tsumiki証券のセキュリティ設定が利用者にとって非常に不親切で、むしろリスクを高めているという現実でした。
- tsumiki証券とは?
- tsumiki証券のセキュリティ設定とログイン方法
- ログイン不能。SMSが届かない
- 問い合わせは「メールのみ」
- 返ってきた回答に愕然
- 自分の意思ではない電話番号変更
- 「半月間使えない」は逆に危険
- 抗議メールとtsumiki証券の回答
- 勝手に「ワンタイムパスワードOFF」
- 不正アクセス調査の結果と対応
- 公式サイトには一切の告知なし
- まとめ
tsumiki証券とは?
tsumiki証券(つみき証券)は、エポスカードで投資信託をクレカ積立できるサービスとして知られています。
運営会社は「tsumiki証券株式会社(エポスカードグループ)」で、丸井グループが母体です。
-
エポスカードで投資信託を毎月10万円まで積み立て可能
-
積立額に応じてエポスポイントが付与(最大0.5%)
- クレカ積立額がエポスカードの年間利用ボーナスポイントの対象になる
特に魅力的なのは、エポスゴールドカードおよびエポスプラチナカード限定の「年間利用ボーナスポイント」制度です。
クレカ積立で積み立てた金額も年間利用額の加算対象となるため、ボーナスポイント(エポスゴールドカードで最大10,000ポイント、エポスプラチナカードで最大100,000ポイント)を獲得しやすくなります。
年間最大120万円まで積み立てられるため、効率的にポイントを貯めることが可能です。
tsumiki証券のセキュリティ設定とログイン方法
tsumiki証券では、通常ログイン時に以下のようなセキュリティを設けています。
-
ID・パスワードによるログイン
-
SMSによるワンタイムパスワード(OTP)認証
-
取引・ログイン通知のメール送信
-
不正アクセス防止のための口座ロック機能
このうち「SMSによるワンタイムパスワード」が最重要の防御機能となりますが、被害が急増している「リアルタイムフィッシング」には防御しきれません。
今回のトラブルは、この脆弱なワンタイムパスワードすら使えなくなってしまったことから始まりました。
ログイン不能。SMSが届かない
いつものようにログインしようとしたところ、SMS認証コードが何度試しても届かない。tsumiki証券のQ&Aをみると、届かない場合は携帯電話会社に問い合わせしてくださいと書いてあるだけです。
「通信の不具合かな?」と思って再試行しても状況はかわらず。
不正アクセスの兆候かもしれないと、不安が募りました。
問い合わせは「メールのみ」
緊急事態にもかかわらず、tsumiki証券では電話での問い合わせが一切不可。メールフォーム経由でしか連絡できません。
「証券口座にログインできない」=「自分の資産状況が確認できない」にもかかわらず、即時対応できないサポート体制には正直驚きました。
翌日の夜になってようやく返信がありましたが、その内容に目を疑いました。
返ってきた回答に愕然
tsumiki証券からの回答は、以下のとおりでした。
電話番号(自宅・携帯)の変更後はセキュリティ上、ワンタイムパスワードが利用できるようになるまで一定期間が必要となるため、半月ほど利用できません。」
つまり、クレジットカードの電話番号を変更すると、ワンタイムパスワードが半月間使えなくなるという、にわかには信じがたい仕様になっていると言うのです。
さらに、tsumiki証券側の判断で、ログインできるようにするため、ワンタイムパスワード機能が自動的にOFFにされていたことも判明しました。
自分の意思ではない電話番号変更
実は、私は自宅電話番号を自分の意思で変更したわけではありません。
エポスプラチナカードのApple Pay設定の際に、プラチナデスクの担当者が「携帯番号と自宅番号の二重登録は不可」として、自宅番号を削除したのです。
その際、ワンタイムパスワードが届かなくなるといった説明など一切ありませんでした。
その結果、SMSとは関係のない自宅番号の変更でtsumiki証券側が「電話番号変更」と誤認し、ワンタイムパスワードが送られなくなったという理不尽な展開となりました。
エポスプラチナカードのApple Pay設定に不具合が出たという記事はこちら!
「半月間使えない」は逆に危険
tsumiki証券側は「お客様の安全を守るための措置」と説明しますが、実際にはセキュリティリスクを著しく高める結果になっています。
なぜなら、
-
ワンタイムパスワードが送られない=2段階認証が機能しない
-
その間、認証なしのログインも許される場合がある
-
ユーザーは自分でセキュリティを管理できない
という、本末転倒な状況が生じるためです。
抗議メールとtsumiki証券の回答
私はすぐに、強いトーンで抗議メールを送りました。一部抜粋します。
返答が非常に遅いのは証券会社として極めて不適切です。
フィッシング詐欺に遭ったのではと不安で心休まりませんでした。
ワンタイムパスワードが半月も利用できないというのは、証券会社のセキュリティ体制として重大な問題です。
tsumiki証券からは以下のような回答がありました。
つまり、
tsumiki証券の内部ではなく、エポスカード側のセキュリティシステムに依存しているとのこと。
しかし、実際に不便を被るのは利用者側です。
勝手に「ワンタイムパスワードOFF」
さらに問題なのは、tsumiki証券側の判断で私のアカウントのワンタイムパスワード設定がOFFに変更されていたこと。
ワンタイムパスワードが送信されないという措置は半月ほど過ぎれば解除されます。実はこの時、すでに14日ほど経過していました。なのであと1~2日待てば解除されていたにも関わらず、勝手に設定をOFFにされてしまったのです。
これにより再設定までさらに半月かかるとのことで、実質的に約1か月間もOTPが使えない状態を強いられることになりました。
「セキュリティ強化」の名のもとに、利用者が1か月間ログイン不安に晒されるというのはどう考えても矛盾です。
不正アクセス調査の結果と対応
tsumiki証券による不正アクセスの調査結果では、該当期間に不正ログインの履歴は確認されず、登録情報にも異常はなかったとのことでした。
また、希望すれば「取引ロック」も設定できると案内がありましたが、その依頼もメールのみ・即時反映不可。
「セキュリティを守る仕組み」があまりにも遅い印象です。
公式サイトには一切の告知なし
このように「エポスカードの電話番号変更で半月OTPが使えない」という重大な仕様にもかかわらず、tsumiki証券の公式サイトやFAQでは一切説明がありません。
「セキュリティ強化」と言いながら、利用者に重要な情報を説明していないのは誠実とは言えません。
まとめ
今回の記事は、いかがでしたでしょうか?
今回の件でわかったのは、tsumiki証券のセキュリティ設計は「安全」ではなく「過剰で不便」だということ。
特に、以下の点は非常に大きな問題です。
-
エポスカードの登録電話番号を変更すると、tsumiki証券のOTPが停止する
-
再開まで半月~1か月かかる
-
問い合わせはメールのみで、即時対応不可
-
公式にこの仕様が開示されていない
🔔 tsumiki証券を利用している人へのアドバイス
-
エポスカードの電話番号をむやみに変更しないよう注意
-
ログインできなくなったらすぐに問い合わせメールを送る
-
ワンタイムパスワード再開までの間は「取引ロック」を依頼する
📝 最後に
「セキュリティ強化」という言葉は聞こえはいいですが、ユーザーが1か月も認証機能を使えない仕様は、本来の目的と完全に逆行しています。
資産を預ける証券会社だからこそ、透明で迅速、そして利用者目線のセキュリティ設計が求められます。ぜひ、tsumiki証券並びにエポスカードには早急な改善をお願いしたいです。
また、同じようなトラブルに遭わないためにも、tsumiki証券ユーザーの方は今一度ご自身の設定を確認してください。
最後まで読んでいただきありがとうございました。
この記事がお役に立てたのならうれしいです。
今回の記事が良ければ、ブックマークとスターをお願いします。
また、SNSでシェアして頂けると、モチベーションが上がります。
今後も役に立つ、記事を配信していきます!