金融機関の大半が、オンラインサービスでのスマホ認証（FIDO）などの多重要素認証の設定を5/末日を目途に実施するよう、ユーザーに対し求めています。今までのIDとパスワードだけでは、フィッシング詐欺による不正アクセスによる被害を防げないためです。

私も証券会社（複数利用）、銀行、ショッピングサイトなどオンラインサービス利用機関に対しては片っ端から実施しました。家族にも集中的に実施させました（「そのうち」なんて思っていると、アクセスできなくなってしまい、却って不便をこうむりますから）。

それで気づいたことが２つほど。

１つは、各社の対策が少しずつ違うことです。

オーソドクスなのは従来のID/PWに加え、１）メールアドレスを登録しておいて、ログイン時にそこに送ったパスキー（番号）を改めて入力させること。でもこれをすべて同じ端末でやってしまうことが可能なので、あまり本質的な解決策ではありません。

そこで、２）スマホ認証用アプリを使う方法です（当然、あらかじめインストールさせる必要があります）。そこで発生したパスキーを読み込ませるか、またはPCからのログイン時には当該スマホを近づけることで同一人物であることを特定できるようにするか、です。この後者がFIDOですが、不正アクセス者は同一のスマホを物理的に持てないので、効果的なのです。

もう一つ実にユニークな対策を知りました。それは３）ログイン直前に特定の電話番号に（ユーザーから）電話を架けさせる方法です。そのあと数分の間にログインしないといけないので結構うっとおしいですが、多分発信側（つまりユーザー側）の電話番号も登録してあるので、そのユーザーからのログインと一致していることが判明する訳です。

つまり不正アクセス者が仮に①ID/PWを不正に知ったとして、②対象ユーザーの電話番号を知っていて、③その番号から架けたように装うことができ、その上で④直後にログインするという３つの条件を満たさないと不正ログインできない仕掛けです。

でも不正アクセスをするような連中だと①と同時に②を知りそうで（ユーザー情報DBから抜き取って）、③は技術的にできそうで、④は難なく実施できそうです。ユーザーにこんな面倒くさいことをさせて、本当に効果あるのでしょうかね？

気づいたことのもう一つは、こうした金融機関でのチャットボットは旧式のままで、AIチャットボット導入はずいぶんと遅れていることです。

旧式のチャットボットはあらかじめプログラミングされた言語しか認識できないので、質問者が少し言葉を省くと、または余計な表現を挿入すると、もう理解できません。ましてやちょっとイレギュラーな質問にはまともな回答を全然できません。だからほとんど役に立つことはありません（はっきり言って「欠陥製品」です）。

それに対し最新のAIチャットボットは生成AIが組み込まれているので、質問者の意図をかなり正確に理解することが可能になっています。しかも学習することもできるので、FAQのレベルも少しずつ進化します。これなら従来のチャットボットよりずっと役にたつことができます（まともな製品なら）。

でも今回分かったのは、私が使うほとんどの金融機関は旧式のチャットボットのままで今回の多重要素認証の設定要請期限を迎えようとしており、「なんだこのチャットボット、全然使えないな！」とユーザーを怒らせまくったことは間違いありません。

大手の金融機関には資金は豊富にあるのだからお金を惜しまずに、IT投資は（他業界に）先行するくらいの気持ちでやる覚悟はないのですかね。