ネット証券などで不正アクセスにより顧客の資産が勝手に売却され、その資金で見知らぬ中国株などが購入されるという悪質な詐欺被害の急増が話題となっています。
先日、金融庁が2025年1月から4月までの証券口座乗っ取りによる詐欺被害の件数と被害額を公表しました。
前回の発表時と比べて不正サクセス件数、不正売買額とも急増している状況。
新NISAをきっかけに投資を始めた方も多く、詐欺被害の状況が気になっていた人は少なくないでしょう。
私自身、資産の8割程度を運用に回しているので他人ごとではなく、口座乗っ取り対策を実施しました。
そこで今回の記事では、金融庁のまとめた証券口座乗っ取りによる詐欺被害状況とその対策方法について解説します。
証券口座の乗っ取りに不安を感じている方は参考にしてください。
証券口座乗っ取り被害額は3049億円!
金融庁の発表によると、4月末までに口座を乗っ取られ不正に株を売買される被害が報告された証券会社は9社。
下図の通り、不正アクセスの件数は6380件と前回(4月16日まで)の集計(3312件)から倍増。
不正な売買は合計で約3049億円と、4月16日までの集計(約954億円)の3倍を超える金額に達しています。
・2025年2月~4月16日までの被害状況
・2025年1月~4月までの被害状況
(出典:金融庁)
なお、これまで口座乗っ取りによる被害が確認されている証券会社9社は下記の通りです。
- 楽天証券
- 野村証券
- SBI証券
- SMBC日興証券
- マネックス証券
- 松井証券
- 大和証券
- 三菱UFJeスマート証券(旧auカブコム証券)
- 三菱UFJモルガン・スタンレー証券
証券口座乗っ取り被害を防ぐ対策方法とは?
先述の通り、私は資産の大半を証券会社の口座に入れて運用しています。
よって、詐欺被害は他人事ではありません。
詐欺被害が報道されるようになってから色々と対策について調べてきました。
私がメインで使っているSBI証券の事例をもとに実際に行った口座乗っ取り対策方法を解説します。
①パスワード変更
パスワード(PW)が漏れている可能性も考慮してログインPW・取引PWとも変更しました。
更にこれまで使っていたPWよりも長く複雑に変更。
今のハッカーの技術を持ってすれば、単純で短いPWだと即座に突破される可能性があるとのこと。
下記の通り、15文字で大文字、小文字、数字、記号を含むPWであれば解析に144兆年かかるそうです。
よくある「大文字、小文字、数字、記号を含む8文字のパスワード」では17年でしたが、大文字、小文字、数字、記号を含む9文字」になると1,000年と大幅に増加します。 これをNISTが推奨している15文字で大文字、小文字、数字、記号を含むパスワードとすると144兆年という宇宙誕生(138億年)よりも大きな期間が必要になります。
SBI証券のPWポリシーは下記の通り。
- 10文字以上20文字以内
- 下記3種類の文字をすべて使用
(1)半角英字(1文字以上)
(2)半角数字(1文字以上)
(3)記号2種類以上
もともと10文字だったPWを15文字で大文字、小文字、数字、記号を含むものに変更しました。
これで現状では解析に144兆年かかる状態になりました。
②パスワードの使いまわしを止める
私は、SBI証券をメインに合計5社の証券会社を利用していますが、PWを使いましていました。
パスワードを使いまわしている状態で、そのうちの証券会社1社がサイバー攻撃を受け、パスワードを含む情報が漏えいした場合、芋づる式に他の証券会社にも不正アクセスされるリスクがあります。
5社も利用していれば、それぞれにID・PWを管理するのは大変。
PWが同じであれば、ログインや取引時が楽ですが、証券会社ごとにログイン・取引PWを変更しました。
③多要素認証
多要素認証については、各証券会社で必須化される流れなのでやらざるを得ません。
SBI証券は「FIDO(スマホ認証)」と「デバイス認証」が2025年5月31日から必須化されます。
メールアドレスを登録してれば、「FIDO(スマホ認証)」と「デバイス認証」の設定はともに数分で完了します。
なお、証券口座の乗っ取り被害が話題になるまで多要素認証と二段階認証は言葉が違うだけで同じものだと勘違いしていました。
実際は下記の通り、二段階認証よりも多要素認証の方がセキュリティが強いとされています。
多要素認証とは?
認証において、知識要素(PW、秘密の質問等)・所持要素(SMSでの受信や専用トークンで生成するワンタイムコード等)・生体要素(指紋、静脈等)のうち二以上の要素を組み合わせること。同一要素を複数回用いる多段階認証よりもセキュリティが強いとされる。
(出典:金融庁)
④証券口座にはアプリ又はブックマークからアクセス
フィッシングメールがかなり巧妙になり、ドキッとする内容のメールを受け取ることも増えています。
しかし、そこで焦らずにメールのリンクを絶対に踏まない。
どんなことがあっても証券口座にアクセスする際は、アプリ又はブックマークを利用しています。
⑤マルウェア(info stealer)感染に気を付ける
証券口座乗っ取り被害はフィッシングに加え、スパイウェアやマルウェアの感染も原因とされています。
マルウェアとは、コンピューターやネットワークに対して不正かつ有害な動作を行うよう設計された悪意のあるソフトウェアやコードの総称。
マルウェアはキーロガー機能を持つものがあり、ユーザーが入力するIDやパスワードが盗みとられてしまいます。
また、ブラウザにPWを記憶させていると、クッキーを丸ごと抜いていくマルウェアも存在しているとのこと。
マルウエアへの感染経路は、メールに添付されたファイルを開いたり、Chromeの拡張機能を入れる際などのようです。
スマホの怪しいアプリにも注意が必要なようで、アプリをダウンロードする際は「App Store」や「Google ストア」を使うべき。
なお、私は不特定多数の人が使う端末から証券口座にログインしないようにしています。
どれだけ気を付けてもマルウェアに感染した端末から証券口座にログインすれば情報を抜かれる可能性があるでしょう。
証券口座へのログインは自分専用のPCやスマホからのみにしています。
⑥フリーWi-Fiを使わない
フリーWi-Fiを使って証券口座にログインすると、ログイン状態を乗っ取るセッションハイジャックに遭うことがあるとのこと。
街の中にはフリーWi-Fiが溢れていますが、外出先では極力、証券口座へのログインは避けるべきでしょう。
私は、インデックス投資家なので外出中に証券口座にログインすることは稀ですが、フリーWi-Fiは使わないように気を付けています。
対策で完全に口座乗っ取りを防げるのか?
証券会社などが推奨する上記のような対策を行っても完璧に乗っ取りを防ぐことはできないかもしれません。
実際、著名投資家のテスタさんでさえも乗っ取り被害に遭っています。
乗っ取られました
— テスタ (@tesuta001) May 1, 2025
証券会社は楽天証券です
2段階認証も突破されたとのこと。
相手はプロの詐欺集団。どんなに対策を施してもその隙をついてくるでしょう。
では、面倒な対策は無駄なのか?
対策によって乗っ取りは完全に防げなくても被害に遭った際の補償に関係するので、できるかぎりの対策をしておくのがベター。
日本証券業協会と大手証券10社は、証券口座乗っ取りにより損失を被った顧客に対して被害額の一部を補償する方針を共同で表明しました。
被害についての補償内容はPWの管理方法などを勘案するとしています。
(前略)
なお、お客様が被った被害の補償については、被害状況を十分に精査し、そのお客様のIDやパスワード等の管理を含む態様やその状況等並びに証券会社における不正アクセス等を防止するための注意喚起等を含む対策等を勘案したうえで、個別の事情に応じて対応することになります。
(後略)
例えば、PWを簡単に類推できるようなモノにしていたり、複数の証券会社で使いまわしていたなど管理が杜撰な場合は補償ゼロというケースも考えられます。
どんなに対策しても完璧はないので、最悪の場合は補償を受けられるようにする意味でも可能な限りの対策を行う方が無難です。
まとめ
先日、金融庁が2025年1月から4月までの証券口座乗っ取りによる詐欺被害の件数と被害額を公表しました。
前回の発表時と比べて不正サクセス件数、不正売買額とも急増している状況。
個人でも下記のように可能な限りの対策を行っておくことが肝要です。
- パスワードの変更
- パスワードを使いまわさない
- 多要素認証
- 証券口座にはアプリ又はブックマークからアクセス
- マルウェア(info stealer)感染に気を付ける
- フリーWi-Fiを使わない
上記の対策を行っても口座乗っ取りを防げない可能性もあるでしょう。
しかし、乗っ取りは完璧に防げなくても被害に遭った際の補償に関係するので、できるかぎりの対策をしておくことが肝要です。
