証券先物委員会が7月9日に公表した通達によると、インターネット・ブローカーおよび認可された仮想資産取引プラットフォームは、12か月以内にワンタイムパスワードを、パスキーやデバイスの紐付けなどのフィッシング耐性のある認証方式に置き換えなければなりません。大手ブローカーは、対策を直ちに実施することが見込まれています。シニアマネジメントは引き続き顧客資産の保護に責任を負い、企業は、不審なログイン試行を検知し、ハッキングに関するインシデントに迅速に対応するための監視システムを導入する必要があります。
この指示は、従来のOTPでは、ますます巧妙化するフィッシング攻撃に対する十分な防御にならないとの懸念の高まりを受けています。SFCによれば、フィッシング攻撃は、2025年に香港のコンピュータ緊急対応チーム調整センター(Coordination Centre)に報告されたすべてのサイバーセキュリティ・インシデントのうち57%を占めました。