証券口座乗っ取り事件が急増中！フィッシング攻撃の新手口と個人でできる対策を現役CSIRTが解説

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

2025年初頭に発覚した大規模な証券口座の乗っ取り事件をご存知でしょうか？この事件は、これまでの常識を覆すほど巧妙な手口で実行され、多くの個人投資家が被害に遭いました。現役CSIRTとして数多くのサイバー攻撃事例を分析してきた私が、この事件の詳細と、個人でできる対策について詳しく解説します。

証券口座乗っ取り事件の実態とは？
1. 従来の攻撃との違い
なぜパスワードとSMS認証では防げないのか？
1. 攻撃の具体的な流れ
パスキー認証が注目される理由
1. パスキー認証の仕組み
個人でできる対策方法
金融機関の対応状況
今後の展望と個人がすべきこと
1. おすすめの対策順序
まとめ
一次情報または関連リンク

証券口座乗っ取り事件の実態とは？

今回の事件の最も恐ろしい点は、攻撃者が「Phishing-as-a-Service」という新しいサービスを悪用したことです。これは、特別な技術知識がなくても、誰でも簡単にフィッシング攻撃を仕掛けることができるサービスです。

従来の攻撃との違い

以前のフィッシング攻撃は、ある程度の技術的知識が必要でした。しかし、現在では：

生成AIによる自然な日本語の詐欺メール作成
本物そっくりの偽サイトの簡単作成
SMS認証さえも突破する高度な技術

これらが低コストで利用可能になっています。実際に私が調査した事例では、攻撃者は月額数千円程度でこうしたサービスを利用し、数百万円の被害を生み出していました。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

なぜパスワードとSMS認証では防げないのか？

多くの方が「二要素認証があるから大丈夫」と考えていますが、実はこれが大きな落とし穴です。現在のフィッシング攻撃は、リアルタイムで認証情報を盗み取る「中間者攻撃」という手法を使います。

攻撃の具体的な流れ

本物そっくりの偽サイトへ誘導
ユーザーがIDとパスワードを入力
攻撃者が即座に本物のサイトへ情報を転送
本物のサイトからSMS認証コードが送信
ユーザーが偽サイトに認証コードを入力
攻撃者が認証コードを使って不正ログイン

このように、従来の認証方式では完全に防ぐことができません。

パスキー認証が注目される理由

こうした状況を受けて、金融機関では「パスキー認証」の導入が急速に進んでいます。パスキー認証は、2024年時点で150億以上のアカウントで利用されており、大規模な突破事例はゼロという驚異的な安全性を誇っています。

パスキー認証の仕組み

パスキー認証は、以下の要素を組み合わせた認証方式です：

生体情報（指紋、顔認証など）
デバイス情報（スマートフォンやPC固有の情報）
FIDO準拠の暗号化技術

これらの組み合わせにより、フィッシング攻撃による突破を極めて困難にしています。

個人でできる対策方法

パスキー認証が完全に普及するまでの間、個人でできる対策をご紹介します。

1. 包括的なセキュリティ対策の導入

まず基本となるのが、信頼できるアンチウイルスソフトの導入です。最新のフィッシング攻撃は、メールだけでなく、悪意のあるウェブサイトからの感染も狙っています。

2. 通信の暗号化

特に公共Wi-Fiを利用する際は、VPNの使用が必須です。証券口座へのアクセスなどの重要な通信は、必ず暗号化された環境で行いましょう。

3. 実際の被害事例から学ぶ

私が調査した事例では、以下のような被害が発生しています：

個人投資家Aさん（40代）：偽の証券会社メールから偽サイトへ誘導され、300万円の株式を無断売却された
中小企業経営者Bさん（50代）：法人口座が乗っ取られ、運転資金として預けていた500万円が不正送金された
主婦Cさん（30代）：家計管理用の投資信託が無断解約され、積み立てていた150万円が失われた

4. 早期発見のポイント

被害を最小限に抑えるためには、早期発見が重要です：

定期的な口座残高の確認
不審な取引通知メールの確認
ログイン履歴の定期チェック

金融機関の対応状況

現在、メガバンクを中心にパスキー認証の導入が進んでいます。導入済みの機関では：

ログイン成功率が99％まで向上
コールセンターへの問い合わせが大幅減少
セキュリティ事故の発生率が劇的に低下

といった効果が報告されています。

今後の展望と個人がすべきこと

政府や金融庁もパスキー認証を推奨しており、今後さらに普及が進むと予想されます。しかし、完全に普及するまでには時間がかかるため、個人レベルでの対策が重要です。

特に重要なのは、多層防御の考え方です。一つの対策だけに頼るのではなく、複数の対策を組み合わせることで、攻撃者が侵入する隙を最小限に抑えることができます。

まとめ

証券口座の乗っ取り事件は、もはや他人事ではありません。攻撃手法の進化により、誰でも被害者になる可能性があります。しかし、適切な対策を講じることで、リスクを大幅に軽減することができます。

特に、日常的にオンラインで金融取引を行う方は、セキュリティ対策を見直す良い機会かもしれません。技術の進歩に合わせて、私たちの防御策も進化させていく必要があります。

現役CSIRTとして、多くの被害事例を見てきた経験から言えるのは、「備えあれば憂いなし」ということです。今日から始められる対策もありますので、ぜひ実践してみてください。

一次情報または関連リンク

マジセミ株式会社によるパスキー認証セミナー開催に関するプレスリリース