2025年初頭から証券業界で不正アクセスが相次ぎ、個人投資家の資産が狙われています。日本証券業協会は7月15日、「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案を公表し、フィッシング耐性のある多要素認証の必須化を発表しました。
現役CSIRTとして数多くの証券口座乗っ取り事件を調査してきた私が、実際の被害事例と効果的な対策法をお伝えします。
証券口座乗っ取りの実態と被害の深刻さ
最近調査した事例では、某証券会社の顧客A氏(40代会社員)が朝起きると、保有株式がすべて売却され、約800万円が不正に出金されていました。犯人は深夜2時頃にログインし、わずか30分で全ての取引を完了していたのです。
フォレンジック解析の結果、以下の手口が判明しました:
- フィッシングメールでログイン情報を窃取
- SMS認証コードをSIMスワップで取得
- 出金先口座を犯人の口座に変更
- 保有株式を成行注文で一括売却
- 売却代金を即座に出金
このような被害は2025年に入ってから急増しており、被害総額は既に数十億円に上ると推定されています。
従来の多要素認証の限界とフィッシング攻撃
多くの証券会社では、ID・パスワードに加えてSMSやメール認証を組み合わせた多要素認証を導入していました。しかし、これらの認証方式にはフィッシング攻撃に対する脆弱性があります。
実際のフィッシング攻撃では:
- 偽のログインページでID・パスワードを入力させる
- リアルタイムで本物のサイトにアクセスし、SMS認証コードを要求
- 被害者に認証コードを入力させる
- 即座に本物のサイトにコードを入力し、ログインを完了
この手法により、従来の多要素認証は簡単に突破されてしまいます。
新ガイドラインの重要なポイント
日本証券業協会の改正案では、以下の場面でフィッシング耐性のある多要素認証が必須化されます:
必須化される場面
- ログイン時
- 出金時
- 出金先銀行口座の変更時
- 重要な取引時(推奨)
フィッシング耐性のある認証方式
- パスキーによる認証
- PKI(公開鍵基盤)をベースとした認証
- WebAuthn準拠の認証
暫定的な対応策
フィッシング耐性のある認証を実装するまでの間は:
- 振る舞い検知システムの導入
- ログイン通知機能の強化
- 連続認証失敗時の自動アカウントロック
- 顧客への通知強化
個人投資家が今すぐできる対策
証券会社のセキュリティ強化を待つ間も、個人レベルでできる対策があります:
1. 端末のセキュリティ強化
取引に使用するPCやスマートフォンには、必ず信頼性の高いアンチウイルスソフト
を導入しましょう。最新のマルウェアやフィッシングサイトを検知・ブロックする機能が不可欠です。
2. 通信の暗号化
公共Wi-Fiでの取引は絶対に避け、VPN
を使用して通信を暗号化することを強く推奨します。証券取引は特に機密性が重要な通信です。
3. フィッシング対策
- 証券会社からのメールは必ず公式サイトから確認
- URLを直接入力またはブックマークからアクセス
- SSL証明書の確認を習慣化
- 怪しいメールは即削除
4. パスワード管理
- 証券口座専用の強力なパスワードを設定
- 他のサービスとは絶対に使い回さない
- パスワード管理ツールの活用
企業のWebサイトセキュリティも重要
投資関連の情報を提供する企業サイトも、フィッシング攻撃の踏み台として悪用される可能性があります。企業のWebサイト運営者は、定期的なWebサイト脆弱性診断サービス
を実施し、セキュリティホールを塞ぐことが重要です。
被害に遭った場合の初期対応
もし不正アクセスの疑いがある場合は:
- 直ちに証券会社に連絡
- アカウントの一時停止を要請
- パスワードの変更
- 取引履歴の確認
- 必要に応じて警察への届け出
フォレンジック調査では、初期対応の速さが被害の拡大防止に直結します。
まとめ:多層防御でリスクを最小化
証券口座の乗っ取り被害は今後も増加が予想されます。新しいガイドラインの導入により業界全体のセキュリティは向上しますが、個人レベルでの対策も欠かせません。
特に重要なのは:
- 端末のセキュリティ強化(アンチウイルスソフト
の導入) - 通信の暗号化(VPN
の使用)
- フィッシング攻撃への警戒
- 定期的なセキュリティ設定の見直し
大切な資産を守るため、今すぐできることから始めてみてください。
一次情報または関連リンク
