事件の現状と規模
日本において証券口座が第三者に不正アクセスされ、勝手に株式などを売買される「証券口座乗っ取り」の被害が急増しています。金融庁の調査によると、2025年2月から4月16日までのわずか3ヶ月弱で、不正アクセス件数は3,312件、関連する不正取引件数は1,454件にのぼり、不正な売買総額(売却約506億円、買付約448億円)は約954億円規模に達しています[第一生命経済研究所]。この問題は、個人投資家の資産を脅かす重大な脅威となっています。
被害は大手証券会社を中心に広がっており、楽天証券、SBI証券、野村証券、SMBC日興証券、松井証券、マネックス証券など、少なくとも9社で確認されています[NHK]。今年に入ってからの被害拡大を受け、金融庁は各証券会社に対して「顧客の不安を解消するべく、問い合わせや相談に真摯に対応し、被害の回復に向けて誠実な対応をとるよう指示した」と発表しています。
乗っ取りの手口
サイバーセキュリティ専門家によれば、証券口座乗っ取りには主に以下の手法が使われていると考えられています:
1. フィッシング詐欺
証券会社を装った偽メールやSMSで利用者を欺き、本物と見分けがつかない偽サイト(フィッシングサイト)へ誘導し、IDやパスワードを盗み取る古典的な手法です。特に拡充されたNISA制度など、関心の高いトピックに便乗した手口が増えています。
2. 高度な攻撃手法「AiTM」
「アドバーサリー・イン・ザ・ミドル(AiTM)」と呼ばれる高度な攻撃では、正規サイトと偽サイトを組み合わせて利用し、ユーザーがブラウザ内に保存するクッキー情報を盗み取ります。サイバーセキュリティに詳しい警視庁サイバーセキュリティアドバイザーを務めるSBテクノロジーの辻伸弘氏によると、本物と偽物の画面を巧妙に組み合わせた精巧なサイトを使って攻撃が行われているとのことです[Bloomberg]。
3. インフォスティーラー型マルウェア
IDやパスワードなどの個人情報を盗むことに特化した悪意あるプログラム「インフォスティーラー」も使われています。メールの添付ファイルや不正サイトから感染し、本人が気づかないうちに個人情報が抜き取られてしまいます。
4. 相場操縦を目的とした新たな手口
乗っ取った口座で既存資産を売却し、その資金で事前に仕込んだ流動性の低い銘柄(特に外国株)を大量に買い付けて株価を不正に吊り上げ、犯罪者が別口座で保有する同銘柄を高値で売り抜ける相場操縦型の被害も報告されています。この場合、被害者の口座には売却困難なジャンク銘柄だけが残り、直接的な資金流出がないため発見が遅れるという特徴があります[第一生命経済研究所]。
証券会社の対応と補償
証券各社はこれまで約款で「責任を負わない」と定められていることなどを理由に補償には慎重でしたが、被害の拡大を受けて方針を変更しています。2025年5月2日、日本証券業協会は大手10社(SMBC日興証券、SBI証券、大和証券、野村証券、松井証券、マネックス証券、みずほ証券、三菱UFJeスマート証券、三菱UFJモルガン・スタンレー証券、楽天証券)が被害の状況に応じて顧客に補償する方針を決めたと発表しました[NHK]。
日本証券業協会の松尾元信専務理事は「不正取り引きの犯罪が多発している極めて深刻な状況を踏まえ、証券界としての信頼確保や証券市場の健全な発展のため、かなり異例の措置として講じることにした」と述べています。
ただし、補償額や時期については、一律の基準ではなく各証券会社がIDやパスワードの管理状況などを確認し、個別の事情に応じて検討していくとのことです。
効果的な対策
専門家が推奨する証券口座乗っ取り対策は以下の通りです:
1. 個人でできる対策
パスワード管理の強化
- 強力で複雑なパスワードを設定し、定期的に変更する
- 証券口座のパスワードは他のサービスと絶対に使い回さない
- できればパスワード管理ツールの利用を検討する
多要素認証の設定
- 二要素認証(2FA)または多要素認証(MFA)を必ず設定する
- SMS認証よりも、認証アプリや物理トークンなど、より安全な方式を選ぶ
- 生体認証が利用できる場合は積極的に活用する
セキュリティ対策の徹底
- OSやセキュリティソフトを常に最新の状態に保つ
- 不審なメールやSMSのリンクは絶対にクリックしない
- フリーWi-Fiでの取引を避ける
取引の監視強化
- 取引通知(メール通知など)を必ず有効にする
- 定期的に取引履歴やログイン履歴をチェックする
- 少しでも不審な点があれば、すぐに証券会社に連絡する
デバイス認証の活用
- 証券会社が提供するデバイス認証機能を設定する
- 未登録の端末からのログインを制限する設定を有効にする
アプリ利用の推奨
- ウェブブラウザよりも専用アプリでの利用が安全性が高い場合が多い
- アプリは必ず公式ストアからダウンロードする
2. 証券会社によるセキュリティ対策
日本証券業協会は4月下旬に、不正取引の防止対策として「多要素認証」の設定必須化を決めた証券会社58社の社名を発表しました[Bloomberg]。各社のセキュリティ対策は以下のように強化されています:
- 多要素認証の義務化
- 不正取引検知システムの導入・強化
- リスクベース認証など高度な認証方式の採用
- 顧客への情報提供と啓発活動
- 被害発生時の迅速な対応体制整備
3. 社会・制度的な対策
- 金融庁による監督強化とガイドラインの策定
- 証券業界全体でのセキュリティ基準の底上げ
- 国境を超えるサイバー犯罪に対応するための国際連携
- 金融リテラシーとセキュリティ教育の推進
注意すべき新たな脅威
最近では、証券口座乗っ取り問題に便乗した新たな詐欺も発生しています。「資産補償手続き」などと称する偽メールが配信され、口座乗っ取りへの対策を装って個人情報を盗もうとする「フィッシング詐欺対策フィッシング詐欺」と呼ばれる二次被害も確認されています[Yahoo!ニュース]。
まとめ
証券口座の乗っ取り被害は、攻撃手法の巧妙化により今後も継続する可能性があります。個人投資家は自らの資産を守る「第一責任者」として、多要素認証の設定やパスワード管理の徹底など基本的な防御策を確実に実施することが重要です。同時に、証券会社も顧客の信頼に応えるべく、技術的・制度的な防御体制を継続的に強化していく必要があります。
拡充されたNISA制度の導入など「貯蓄から投資へ」の流れが加速している中で発生した今回の問題は、デジタル金融時代における安全な取引環境の構築が急務であることを示しています。最新の脅威を常に把握し、官民一体となった対応が求められています。
コメント
コメントを投稿