証券口座乗っ取り被害の実態
最近、証券会社の口座が乗っ取られて勝手に株取引をされてしまう被害が急増しています。現役のCSIRTメンバーとして多くの事例を見てきましたが、この手の被害は本当に深刻です。
被害者の多くは「まさか自分が」と思っていた方ばかり。しかし、サイバー犯罪者は私たちが思っている以上に巧妙で、従来のパスワード認証だけでは全く太刀打ちできない状況になっています。
多要素認証でも安心できない理由
証券業界では多要素認証の義務化が進んでおり、現在78社が導入済みです。これは確実に一歩前進なのですが、残念ながら完璧な解決策ではありません。
なぜなら、「リアルタイムフィッシング」という新しい攻撃手法が登場しているからです。
リアルタイムフィッシング攻撃の恐ろしさ
従来のフィッシング攻撃は、偽サイトでID・パスワードを盗んで、後日悪用するというものでした。しかし、リアルタイムフィッシングは全く違います。
- 攻撃者が証券会社を装ったメールを送信
- 被害者が偽サイトにアクセス
- 被害者がID・パスワードを入力
- 攻撃者がその場で本物のサイトにログイン
- 被害者のスマホにワンタイムパスワードが届く
- 被害者が偽サイトにワンタイムパスワードを入力
- 攻撃者がリアルタイムでそのコードを使って認証突破
この手口の恐ろしいところは、多要素認証を正しく設定していても、被害者が気づかないうちに突破されてしまうことです。
実際のフォレンジック事例
先日調査した事例では、会社員のAさん(40代)が以下のような被害に遭いました。
事例:会社員Aさんの場合
- 被害総額:約200万円
- 攻撃手法:リアルタイムフィッシング
- 侵入経路:証券会社を装ったメール
Aさんは「システムメンテナンスのため再認証が必要」というメールを受信。URLをクリックして、見た目は完全に本物と同じサイトでログイン情報を入力しました。
スマホに届いたワンタイムパスワードも入力したところ、翌朝には口座の株式が勝手に売買されていたのです。
フォレンジック調査で判明した手口
ログ解析の結果、以下のことが判明しました:
- 偽サイトは本物と99%同じデザイン
- URLも巧妙に似せられていた(例:securities-japan.com → securities-japan.net)
- 攻撃者は海外のプロキシサーバーを経由
- 被害者が情報を入力してから実際の不正取引までわずか3分
個人投資家ができる効果的な対策
1. メールのリンクは絶対にクリックしない
これは鉄則です。証券会社からのメールにURLが含まれていても、必ず公式サイトのブックマークから直接アクセスしてください。
2. 総合的なセキュリティ対策を導入
パソコンやスマホには必ずアンチウイルスソフト
を導入しましょう。最新の脅威データベースを持つソフトなら、フィッシングサイトへのアクセスを事前にブロックできます。
特に投資用のデバイスには、金融機関向けの保護機能が充実したものを選ぶのがおすすめです。
3. 通信経路の暗号化
公共のWi-Fiで取引をする場合は、必ずVPN
を使用してください。暗号化されていない通信では、通信内容を盗聴される可能性があります。
4. 定期的な口座残高の確認
できれば毎日、最低でも週に2〜3回は口座残高をチェックしましょう。早期発見が被害を最小限に抑える鍵です。
5. パスキー(生体認証)の活用
可能な限り、指紋や顔認証を使ったパスキー認証を設定してください。これは現時点で最も安全性の高い認証方法です。
中小企業経営者の方へ
従業員が会社のパソコンで個人の投資を行っている場合、そのリスクは会社全体に及ぶ可能性があります。
実際に調査した事例では、従業員のパソコンがマルウェアに感染し、そこから会社のネットワーク全体に被害が拡大したケースもありました。
- 従業員への安全なインターネット利用に関する教育
- 業務用デバイスでの私的な金融取引の禁止
- 包括的なセキュリティソフトの導入
これらの対策を検討することをお勧めします。
まとめ
証券口座の乗っ取り被害は、多要素認証の普及によって一定程度は減少しましたが、攻撃者も進化しています。リアルタイムフィッシングのような新しい手口に対しては、従来の対策だけでは不十分です。
- メールのリンクは絶対にクリックしない
- 総合的なセキュリティ対策の導入
- 通信の暗号化
- 定期的な残高確認
- パスキー認証の活用
これらの対策を組み合わせることで、大切な資産を守ることができます。投資で利益を得ることも大切ですが、まずは安全な取引環境を整えることが最優先です。
一次情報または関連リンク
産経新聞:証券口座の乗っ取りによる株の不正取引などの被害の多発を受け、証券各社はインターネット取引のログイン時に複数の手段で本人確認をする「多要素認証」を義務化
