2025年春、証券口座の不正アクセスによる被害が相次いで報告されました。楽天証券をはじめとする複数の証券会社で、顧客の口座が乗っ取られ、無断で株式の売買が行われる事例が発生。金融庁によると、2025年2月から4月中旬までの不正取引による売買金額は950億円を超えています。
これを受けて、証券各社では顧客への被害補償を含む対応策の検討が進められており、日本証券業協会も業界全体での補償基準の策定に向けて調整を始めています。
証券口座乗っ取りの手口とは?
証券口座の乗っ取りには、主に以下の手口が用いられています。
1. フィッシング詐欺
実在する金融機関を装った偽のメールやウェブサイトを通じて、ユーザーのIDやパスワードを盗み取る手法です。楽天証券では、偽のセキュリティ強化通知を装ったメールにより、ユーザーが偽サイトに誘導され、ログイン情報を入力してしまうケースが報告されています。
2. マルウェア感染
悪意のあるソフトウェア(マルウェア)を通じて、ユーザーの端末から情報を盗み取る手法です。SBI証券では、マルウェアによる不正取引が確認されており、顧客のIDが乗っ取られる被害が発生しています。
3. リスト型攻撃
他のサービスから流出したIDやパスワードのリストを使い、複数のサイトでログインを試みる手法です。SBI証券では、過去にリスト型攻撃による不正アクセスが発生し、約1億円の被害が報告されています。
証券口座乗っ取りの犯人はつかまらないのか?
これらの不正アクセスの多くは、海外のサーバーや匿名化技術を利用して行われており、犯人の特定や逮捕は困難を極めています。SBI証券や楽天証券では、警察に被害を届け出て捜査が進められていますが、具体的な進展は公表されていません。
どこの証券口座が被害を受けているのか?
複数の証券会社で不正アクセスによる被害が報告されています。
三菱UFJモルガン・スタンレー証券が4月30日、不正ログインによる取引が確認されたと明らかにしました。これで9社となり、他に楽天証券や野村証券、SBI証券、SMBC日興証券、マネックス証券、松井証券、大和証券、三菱UFJ eスマート証券で確認されています。
犯行の手口としては、フィッシング詐欺によってIDやパスワードなどの認証情報を盗み取り、不正にログインして株を売買するケースが多いようです。特に、株価の安い中国株を大量に購入する手口が確認されています。犯人が中国株の株価を吊り上げて利益を得る目的で行われていると考えられています。
日本の五大証券会社
- 野村証券(野村ホールディングス)
- 大和証券(大和証券グループ)
- 三菱UFJモルガン・スタンレー証券
- SMBC日興証券
- みずほ証券
まだ被害が報告されていない証券会社でも、同様の被害が発生している可能性があり、日証協は業界全体での対応を呼びかけています。
SBI証券「バックアップサイト」突如の前倒し閉鎖へ
SBI証券は2025年4月30日、同社が提供していた「バックアップサイト」のサービスを2025年5月30日をもって終了すると発表しました。しかし、翌5月1日には「5月2日をもって前倒しで閉鎖する」と公式にアナウンスし、ユーザーの間で驚きと混乱が広がりました。このバックアップサイトは、システム障害などの緊急時に利用されるとされていましたが、実際には通常のログイン画面とは異なり、ワンタイムパスワードや二段階認証が効かない状態でログインできるという重大なセキュリティ上の脆弱性を抱えていました。
加えて、サイト上では国内株式の売買が可能であることも確認されており、この点が不正取引の温床になっていたのではないかとする指摘もあります。セキュリティを強化しているつもりでも、IDとパスワードのみでアクセスできる構造になっていたことから、フィッシング詐欺などに悪用された可能性は否定できません。
SBI証券では一部対策として、取引パスワードの省略設定を解除するオプションや、不審なログイン時にメール通知を送る機能が備わっていますが、こうした対応では根本的なセキュリティ問題を防ぎきれなかったという批判もあります。
今回のバックアップサイト閉鎖は、証券会社がセキュリティ対策の再検討を迫られる象徴的な出来事となりました。証券口座を利用するすべての人が、こうした裏口的なサイトの存在や設定内容にまで注意を払う必要があることを痛感させられる事例です。
バックアップサイトとは?
「バックアップサイト」とは、通常のウェブサイトがダウンした際に、代替として利用されるサイトを指します。しかし、フィッシング詐欺では、正規のサイトを装った偽のバックアップサイトが作成され、ユーザーが誤ってログイン情報を入力してしまうケースがあります。これにより、犯人はユーザーの情報を盗み取ることが可能となります。
証券口座乗っ取りの対策は?どうすればよいのか?
ユーザー自身ができる対策として、以下の点が挙げられます。
1. 多要素認証の導入
ログイン時にIDとパスワードに加え、ワンタイムパスワードや生体認証を利用することで、セキュリティを強化できます。SMBC日興証券やフィデリティ証券では、二要素認証の利用を推奨しています。
2. パスワードの使い回しを避ける
複数のサービスで同じパスワードを使用すると、リスト型攻撃のリスクが高まります。各サービスで異なるパスワードを設定し、定期的に変更することが重要です。
3. 不審なメールやサイトに注意する
金融機関を装ったメールやサイトには注意が必要です。正規のURLを確認し、不審なリンクはクリックしないようにしましょう。
4. セキュリティソフトの導入と更新
ウイルス対策ソフトを導入し、常に最新の状態に保つことで、マルウェアの感染を防ぐことができます。
証券口座詐欺被害について補償の検討背景
これまで、証券会社は「損失補填の禁止」を定めた金融商品取引法を理由に、不正アクセスによる被害の補償に慎重な姿勢を示していました。しかし、金融庁は、第三者による不正アクセスで顧客に無断で取引が行われた場合、同法の規制対象外との見解を示しました。これにより、証券業界は補償に前向きな姿勢を見せ始めています。
証券口座詐欺被害:補償基準の検討ポイント
- 顧客の過失の有無や程度:顧客がセキュリティ対策を適切に行っていたかどうかが補償の判断材料となります。
- 多要素認証の利用状況:IDとパスワードに加え、ワンタイムパスワードや認証アプリなどの多要素認証を導入していたかが考慮されます。
- 被害発覚後の対応:被害を速やかに証券会社や警察に届け出たかどうかも重要な要素となります。
これらの要素を総合的に判断し、補償の可否や範囲が決定される見込みです。
今後の展望
証券業界は、補償基準の策定と並行して、セキュリティ対策の強化にも取り組んでいます。特に、多要素認証の義務化が検討されており、顧客の安全な取引環境の整備が進められています。また、被害に遭った顧客が迅速に対応できるよう、サポート体制の強化も求められています。
日本証券業協会(以下、日証協)は、業界全体で一定の補償基準を策定するため、各証券会社と意見調整を進めています。
今後、日証協から具体的な補償基準が示されることで、顧客の不安が軽減され、証券市場の信頼回復につながることが期待されます。
まとめ
証券口座の不正アクセスによる被害は、個人の資産を脅かす重大な問題です。ユーザー自身がセキュリティ対策を講じるとともに、証券会社や政府の対応にも注目し、安心して取引ができる環境を整えることが求められています。
