証券会社を狙うフィッシング詐欺が急増！現役CSIRT専門家が教える被害を防ぐ3つの対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

証券会社を装ったフィッシング詐欺が過去最悪レベルに
フォレンジック調査で明らかになった被害の実態
狙われやすい3つのパターンとその手口
個人ができる3つの基本対策
企業が取るべき包括的なセキュリティ対策
被害に遭ってしまった場合の対応手順
2025年下半期の脅威予測
まとめ：多層防御でリスクを最小化する
一次情報または関連リンク

証券会社を装ったフィッシング詐欺が過去最悪レベルに

最近、私のもとにも「証券口座にログインできない」「身に覚えのない取引履歴がある」といった相談が激増しています。実際に被害に遭われた方の端末を調査すると、ほぼ100%の確率でフィッシング詐欺が原因となっているのが現状です。

BBSSの最新調査によると、証券会社を装ったフィッシングサイトが過去最悪レベルで増加しており、特に野村証券、SBI証券、大和証券を狙った攻撃が深刻化しています。金融庁の発表では、2025年1月～6月だけで不正売買による被害金額が5,000億円を超えているという衝撃的な数字も出ています。

フォレンジック調査で明らかになった被害の実態

私が担当したある中小企業の事例では、経理担当者が「SBI証券からの重要なお知らせ」というメールを受信し、リンクをクリックしてログイン情報を入力してしまいました。その結果：

会社の運転資金として保有していた株式が無断売却される
被害金額は約800万円に達する
証券口座の復旧に3週間を要し、事業運営に深刻な影響
顧客への支払いが遅延し、信用失墜のリスクが発生

個人のケースでも、退職金を運用していた60代男性が「大和証券のシステムメンテナンス」を装ったフィッシングメールに騙され、1,200万円の損失を被った事例もありました。

狙われやすい3つのパターンとその手口

フォレンジック解析の結果、被害者の多くが以下のパターンで騙されていることが判明しています：

1. 緊急性を演出する手口

「システムメンテナンスのため、24時間以内にアカウント情報の確認が必要」といった緊急性を演出し、冷静な判断力を奪う手法です。実際の証券会社では、このような急な認証要求は行いません。

2. 正規サイトそっくりの偽装

URLも「sbi-sec.co.jp」のように本物と似せており、一見すると区別がつきません。SSL証明書も偽造されているケースが多く、「安全なサイト」と誤認させる巧妙な仕掛けがあります。

3. マルウェア感染との複合攻撃

フィッシングサイトへの誘導と同時に、端末にマルウェアを感染させ、継続的に情報を窃取する手法も確認されています。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

個人ができる3つの基本対策

1. メールの送信者を必ず確認する

証券会社からのメールは、必ず公式サイトから送信者のメールアドレスを確認してください。疑わしい場合は、メールのリンクをクリックせず、ブックマークやGoogle検索から公式サイトにアクセスしましょう。

2. 二要素認証を必ず設定する

SBI証券では2025年秋にパスキー導入が予定されていますが、現在でも二要素認証の設定は可能です。SMS認証やワンタイムパスワードを設定することで、万が一パスワードが漏洩しても被害を最小限に抑えられます。

3. セキュリティソフトの導入は必須

フィッシングサイトの検知機能が備わったアンチウイルスソフトの導入は、もはや必須と言えるでしょう。リアルタイムでの脅威検知により、危険なサイトへのアクセスを事前に防ぐことができます。

企業が取るべき包括的なセキュリティ対策

従業員教育の徹底

私がCSIRTとして様々な企業を支援する中で感じるのは、技術的対策よりも「人」の部分での脆弱性が圧倒的に多いということです。定期的なフィッシング訓練の実施と、最新の攻撃手法についての情報共有は欠かせません。

ネットワークレベルでの防御

企業ネットワークから外部への通信を監視し、VPN を活用することで、万が一従業員が悪意あるサイトにアクセスしても、通信内容を保護できます。

Webサイトの脆弱性診断

攻撃者は、企業の公式サイトを改ざんして偽のログインページを設置することもあります。Webサイト脆弱性診断サービスを定期的に実施することで、こうしたリスクを事前に発見・対処できます。

被害に遭ってしまった場合の対応手順

万が一、フィッシング詐欺の被害に遭ってしまった場合は、以下の手順で迅速に対応してください：

すぐに証券会社に連絡し、アカウントの利用停止を依頼
パスワードの変更（可能であれば）
警察への被害届の提出
金融機関への相談
専門機関によるフォレンジック調査の検討

特に企業の場合は、被害の全容把握と再発防止策の策定のため、デジタルフォレンジックの専門家による調査を強く推奨します。

2025年下半期の脅威予測

夏休みシーズンに入り、ANA等の交通関連企業を装ったフィッシング詐欺も4倍近く増加しています。証券系に加えて、旅行・交通関連のフィッシングも今後さらに増加すると予想されます。

また、Apple関連のフィッシングが37.16%と最多を占めていることから、iPhoneユーザーを狙った攻撃も警戒が必要です。AppleIDと証券口座を連携している方は、特に注意が必要でしょう。

まとめ：多層防御でリスクを最小化する

フィッシング詐欺の手口は日々巧妙化しており、「自分は大丈夫」という過信は禁物です。個人レベルでの対策に加えて、企業では包括的なセキュリティ戦略の構築が急務となっています。

特に証券取引を行う個人・企業の皆様は、今回ご紹介した対策を参考に、多層防御の仕組みを構築してください。小さな投資で大きな損失を防げるのが、サイバーセキュリティ対策の特徴です。