2025年10月10日、楽天証券がリアルタイムフィッシング攻撃による被害について注意喚起を発表しました。5月上旬以降被害が確認されていなかった同社でも、ついに新たな手口による不正取引が発生してしまいました。
現役のCSIRT(Computer Security Incident Response Team)メンバーとして数多くの金融機関向けフォレンジック調査に携わってきた経験から、今回の事案を詳しく解析し、個人投資家の皆さんが今すぐできる対策をお伝えします。
リアルタイムフィッシングとは何か
従来のフィッシング攻撃では、攻撃者は偽サイトを作成して被害者のパスワードを盗み取り、後日それを使って不正アクセスを行っていました。しかしリアルタイムフィッシングは全く異なります。
リアルタイムフィッシングでは、攻撃者が被害者と同時進行で正規のサイトにアクセスし、被害者から得た情報をリアルタイムで入力していきます。これにより、ワンタイムパスワードや追加認証などの時間制限のある認証も次々と突破されてしまうのです。
実際に私が調査した事例では、被害者がフィッシングサイトで操作している間、攻撃者は別の場所で正規サイトに同時にログインしており、被害者が入力した認証情報を即座に悪用していました。まさに「リアルタイム」での攻撃です。
楽天証券の2層認証が突破された手口
楽天証券では以下の2つの認証システムを導入していましたが、今回の攻撃では両方とも突破されています:
1. 絵文字による追加認証の突破
楽天証券の絵文字認証は、数千種類の絵文字から選ばれた10種類が画面に表示され、メールで指示された順番で2種類を選択する仕組みでした。一見堅牢に見えますが、攻撃者は絵文字認証画面を完全に再現したフィッシングサイトを作成していました。
フォレンジック調査の現場では、このような偽サイトの痕跡を頻繁に発見します。攻撃者のサーバーには、正規サイトの画面をそっくり真似た大量のテンプレートが保存されているのが常です。
2. リスクベース認証(電話確認)の突破
より深刻なのは、電話による本人確認も突破されたことです。システムが異常なアクセスを検知すると、楽天証券のフリーダイヤルに登録済み電話番号から電話をかける必要があります。
しかし今回の被害者は、フィッシングサイトの指示に従って自分でフリーダイヤルに電話をかけてしまいました。攻撃者にとって、被害者自身に電話をかけさせることは「もっとも簡単な突破方法」だったのです。
攻撃インフラの多様化
今回の攻撃では、「テレビ用受信機(STB)」が踏み台として利用されている可能性が報じられています。これは攻撃者がアクセス元を多様化させ、リスクベース認証の検知を逃れようとしていることを示しています。
私が関与した別の事例では、攻撃者が以下のような様々なデバイスを踏み台として利用していました:
- 家庭用ルーター
- IoTデバイス(監視カメラ、スマート家電など)
- 企業の古いVPN機器
- 放置されたクラウドサーバー
これらのデバイスは適切なセキュリティ対策が施されておらず、攻撃者にとって格好の踏み台となっています。
フォレンジック調査で見えた被害の実態
金融機関のフォレンジック調査では、以下のような被害パターンを多く確認しています:
典型的な被害事例
事例1:個人投資家Aさん(50代男性)
証券会社を装ったメールからフィッシングサイトに誘導され、500万円相当の株式を無断で売却・送金された。被害に気づいたのは翌日の朝で、すでに資金は海外口座に移送されていた。
事例2:中小企業経営者Bさん(40代女性)
会社の運転資金として証券口座に保管していた1,200万円が、リアルタイムフィッシングにより一夜にして盗まれた。攻撃者は複数の銘柄を売却し、計画的に資金を分散して送金していた。
これらの事例で共通しているのは、被害者が「まさか自分が狙われるとは思わなかった」と証言していることです。
個人投資家が今すぐできる対策
1. メールとURLの厳格なチェック
楽天グループのメールはBIMI(Brand Indicators for Message Identification)に対応しており、Gmailなどでは認証済みロゴが表示されます。しかし、これに頼りすぎるのは危険です。
必ず以下を確認してください:
- 送信者のメールアドレスが「@rakuten-sec.co.jp」で終わっているか
- URLが「https://www.rakuten-sec.co.jp」で始まっているか
- ブラウザのアドレスバーに鍵マークが表示されているか
2. アンチウイルスソフト による多層防御
個人レベルでできる最も効果的な対策の一つが、高品質なアンチウイルスソフト
の導入です。最新のアンチウイルスソフト
は、フィッシングサイトへのアクセスをリアルタイムでブロックし、マルウェア感染も防いでくれます。
特に金融取引を行う端末には、企業レベルの保護機能を持つアンチウイルスソフト
の導入を強く推奨します。
3. VPN で通信経路を保護
公共Wi-Fiや不安定なネットワーク環境での金融取引は避けるべきですが、どうしても必要な場合は信頼性の高いVPN
を使用してください。VPN
により通信が暗号化され、中間者攻撃のリスクを大幅に削減できます。
4. 多要素認証の適切な運用
楽天証券では10月26日からパスキーが導入予定ですが、それまでは以下の点に注意してください:
- 認証画面で不審な点があれば、いったんブラウザを閉じる
- 電話での本人確認を求められた場合、公式サイトで番号を確認してから電話する
- 急かされても慌てず、冷静に対応する
企業が検討すべき追加対策
中小企業で証券投資を行っている場合、個人レベルの対策に加えて企業としての対策も重要です。
Webサイト脆弱性診断サービス の活用
企業のWebサイトや社内システムに脆弱性があると、攻撃者の標的になりやすくなります。定期的なWebサイト脆弱性診断サービス
により、潜在的なリスクを事前に発見・修正することが可能です。
特に金融取引を行う企業では、社内ネットワークのセキュリティレベルが攻撃者の侵入経路となる可能性があるため、専門的な診断が不可欠です。
今後の展望と継続的な注意点
楽天証券は追加対策により被害は収まったとしていますが、攻撃者も進化を続けています。パスキーの導入は画期的な対策ですが、完全ではありません。
フォレンジック調査の現場では、新しい認証方式に対する攻撃手法の研究も始まっています。重要なのは、「完璧なセキュリティは存在しない」という前提で、常に複数の防御層を維持することです。
個人投資家の皆さんには、以下の心構えをお勧めします:
- 定期的なパスワード変更
- 取引履歴の日常的なチェック
- 不審なメールや電話への警戒
- 最新のセキュリティ情報の収集
まとめ
今回の楽天証券の事例は、どんなに高度な認証システムでも、ユーザーが騙されてしまえば突破される可能性があることを示しています。しかし、適切な知識と対策により、リスクは大幅に削減できます。
現役フォレンジック専門家として断言できるのは、「予防に勝る治療なし」ということです。被害に遭ってからの対応よりも、事前の対策にコストをかける方が遥かに効率的です。
皆さんの大切な資産を守るため、今すぐできる対策から始めてみてください。特にアンチウイルスソフト
とVPN
の導入は、個人レベルでできる最も効果的な防御策の一つです。
