・増加するデジタル資産への攻撃とその現状 ・“リアルタイム詐欺”が多要素認証を突破する現実 ・AIと最新技術がもたらす新たな脅威 ・個人にできる具体的なセキュリティ対策 ・おわりに:自己責任のもと、大切な資産を守る ・書籍紹介
増加するデジタル資産への攻撃とその現状
最近、証券会社のオンライン口座が相次いで不正アクセス被害に遭い、大きな社会問題となっています。2025年初頭から5月末までに確認された証券口座への不正アクセスは10,422件、勝手に行われた不正取引は5,958件にも上り、被害総額は5,240億円に達しました。4月中旬時点で約954億円と報告されていた被害額がわずか数週間で数倍規模に膨れ上がった形です。これは株式の売買を悪用した被害総額であり、手口としては他人の証券口座を乗っ取り、保有資産を勝手に売却した上で犯人が仕込んでおいた株を高値で大量購入させるという巧妙なものでした。犯人は高騰したところで自身の株を売り抜け利益を得る一方、被害者口座には暴落した株だけが残り多額の損失を被ることになります。まさに「被害者の資産を利用して加害者が不正に利益を得る」悪質な構図です。このような被害は中国株だけでなく日本株でも確認され、もはや誰の資産も安全ではない状況となっています。
被害の急増を受け、金融庁や証券各社は緊急対策に乗り出しています。金融庁は被害の実態公表とともに証券業界にセキュリティ徹底を要請し、野村・SBI・楽天証券など主要各社は被害者への補償方針を発表しました(もっとも補償は条件付きである点に注意が必要です)。さらに証券各社は対策強化を進め、2025年5月末までに76社がログイン時の「多要素認証(Two-Factor Authentication)」を必須化すると決定しています。多要素認証とは、ログインID・パスワードに加えてワンタイムパスワード(OTP)など追加の認証を求める仕組みであり、近年ではSMSやメールで送られる6桁程度のコード入力が一般的です。この多要素認証は、不正ログイン防止策として必ず設定すべき基本対策です。実際、証券各社も利用者に対し「多要素認証は絶対に設定してください」と強く呼びかけています。しかし、こうした追加認証ですらもはや絶対安心とは言えないのが現状なのです。
“リアルタイム詐欺”が多要素認証を突破する現実
多要素認証を導入すれば安全――そう思われていた常識が、巧妙化する犯罪者の手口によって覆されつつあります。その代表例が「リアルタイム・フィッシング」や「中間者攻撃(AITM)」と呼ばれる手口です。犯罪グループはまず証券会社を装った巧妙なフィッシングメールやSMSを利用者に送りつけ、偽のログインページへ誘導します。利用者がそこでID・パスワードを入力すると、その情報は即座に犯人に盗み取られます。さらに驚くべきはその次の段階です。犯人は盗んだID・パスワードを使って本物の証券サイトに同時進行でログインを試み、そこに多要素認証(ワンタイムパスワードや生体認証)が要求されると、利用者に「認証コード」を入力させる画面を偽サイト上で表示します。利用者がコードを入力すると、それがリアルタイムに犯人へ渡り、本物のサイトでの認証も突破されてしまうのです。さらに巧妙なケースでは、犯人がブラウザのクッキー情報まで盗み出し、利用者になりすましたログイン状態を完全に再現してしまいます。これではログイン履歴や証跡の面でも見破ることが難しく、利用者が気付いた時には既に資産が売買され損害が出ているという事態が起こり得ます。
このようにログイン情報を守るだけでは不十分な時代に突入しています。事実、著名な個人投資家であるテスタ氏(@tesuta001)の口座が乗っ取られた事件は世間に衝撃を与えました。彼は2段階認証もウイルス対策ソフトも導入済みでしたが、それでも不正アクセスを許してしまったのです。テスタ氏は早朝に証券会社から届いた2段階認証コードのメールで異変に気づき、急いでログイン履歴を確認して犯行を発見、パスワードを変更すると同時に証券会社に連絡して口座をロックすることで被害の拡大を食い止めました。幸い迅速な対応により大事に至りませんでしたが、誰もがいつ同じ目に遭ってもおかしくないことを示す象徴的な出来事でした。
では、利用者側はもうお手上げなのでしょうか?決してそうではありません。証券会社側も対策を強化しています。例えばSBI証券では2025年6月以降、ログイン時に新たな認証方式を導入しました。具体的には、パソコンからのログインに「デバイス認証」を、スマートフォンアプリからのログインに「FIDO認証」(生体認証または物理セキュリティキーを用いる方式)を必須化しています。FIDO(ファイド)認証とは指紋や顔認証、FIDO対応セキュリティキー等を使った最新の多要素認証であり、従来のパスワード単体より格段に安全性が高いとされています。また、出金時の二要素認証も強化され、以前は高額出金時のみだった追加認証を全ての出金に拡大する措置も講じられました。このように、金融機関側も従来以上に厳重なプロテクションを掛け始めているのです。しかし最終的に、自分の資産を守る鍵を握るのは他でもない私たち個人であることを忘れてはいけません。
AIと最新技術がもたらす新たな脅威
現代は「デジタル無防備時代」と言われますが、その背景にはサイバー攻撃手段の高度化・多様化があります。特に近年注目すべきはAI(人工知能)技術の悪用と、将来的には量子コンピュータの登場です。それらはデジタル資産の安全性を根底から揺るがしかねません。
◼︎1, 犯罪者もAIを駆使する時代
AI技術の進歩は私たち利用者の利便性を高める一方で、悪意ある攻撃者にとっても強力な武器となっています。英国の国家サイバーセキュリティセンター(NCSC)は2024年の調査結果で、「今後2年間でAIがサイバー攻撃の量と影響力をほぼ確実に増大させる」と警告しました。既に全ての攻撃者が何らかの形でAIを活用しているとも言われ、AIによる攻撃の自動化・巧妙化が懸念されています。
例えばフィッシングメール一つ取っても、ひと昔前なら日本語が不自然で見破りやすい偽メールが多かったのですが、生成AIの登場によって翻訳精度や文章作成力が向上し、文面だけで本物か偽物か判断しにくいケースが激増しています。事実、証券口座乗っ取りの主要因はフィッシング詐欺ですが、そのメール文面は差出人名や署名まで公式そっくりに偽装され、リンク先だけ巧妙に偽サイトへ誘導するものが多く確認されています。もはや「日本語が変だから詐欺だ」と油断できないレベルにまで達しているのです。
さらにAIは攻撃の自動化と規模拡大にも寄与します。高度なAIチャットボットがSNS上で大勢の利用者と同時にやり取りしながら詐欺サイトへ誘導したり、AIが脆弱性探索を行って人間では発見に時間のかかるセキュリティホールを高速で見つけ出す、といったことも現実味を帯びてきました。NCSCの分析によれば、AIの活用でサイバー攻撃への参入障壁は下がり、スキルの低い初心者ハッカーや愉快犯であっても自己満足や自己顕示のために容易に攻撃を仕掛けられる可能性が高まっています。これはつまり、これまでなら高度な知識が必要だった不正アクセスが、ゲーム感覚で試みられてしまう時代になるかもしれないということです。
◼︎2, 「ゲーム感覚」のハッカーが増える?
実際、過去を振り返れば好奇心や挑戦心からハッキングを行う若者の存在は珍しくありませんでした。1999年には当時16歳の少年がアメリカ国防総省(ペンタゴン)のコンピュータに不正侵入し、数千通のメールを傍受・パスワードを窃取して逮捕された例もあります。彼はハッカー名“cOmrade”を名乗り、NASAのシステムにまで侵入していたことが判明しています。この事件で専門家は「未成年者が何の恐れもなく重要なコンピュータシステム周辺をうろついている現状を如実に示している」と指摘しました。当時でさえ、高度なセキュリティを誇るはずの政府機関システムに若きハッカーが遊び半分で入り込めてしまったのです。
現代では、そうした「腕試し型ハッカー」がAIという強力な道具を手に入れつつあります。AIはプログラミングやセキュリティの専門知識がなくとも高度な攻撃コードを書いたり、世界中の脆弱性情報を学習して攻撃手順を最適化したりするのに利用できます。その結果、動機が金銭目的でない者であっても「ちょっとやってみよう」という軽い気持ちで高度な不正アクセスを実行できてしまうリスクが出てきました。実際、NCSCはAIの普及によりハクティビスト(政治的・社会的主張のためのハッカー)や初心者によるランサムウェア攻撃の増加に警鐘を鳴らしています。悪ふざけや愉快犯による攻撃であっても、被害を受ける側にとっては深刻な損害となることは言うまでもありません。ハッキングがゲーム化する時代が到来すれば、デジタル資産は今以上に危険にさらされるでしょう。
◼︎3, 迫り来る量子コンピュータ時代の衝撃
さらに将来を見据えると、量子コンピュータという新たな脅威も控えています。現在、私たちのあらゆるデジタル取引や資産はRSAや楕円曲線暗号(ECC)といった高度な暗号技術で守られています。しかし専門家たちは、「2030年頃には、これら従来の公開鍵暗号を解読できる実用的な量子コンピュータが登場する可能性がある」と指摘しています。量子コンピュータは従来のコンピュータでは気が遠くなるほど時間がかかる巨大な数の素因数分解などを極めて短時間で実行できる特性を持ちます。そのため、「ショアのアルゴリズム」という量子計算向け手法を用いれば、現在広く使われているRSA暗号やECCも一瞬で破られてしまう可能性があるのです。もしそうなれば、インターネットバンキングや証券取引など現行のデジタルセキュリティ基盤は根底から崩れ、私たちの資産は丸裸も同然となりかねません。
もちろん世界も手をこまねいているわけではなく、耐量子計算機暗号(PQC)と呼ばれる次世代の暗号方式への移行準備が進められています。米国標準技術局(NIST)は2024年に初の耐量子暗号の標準方式を決定し、日本の金融庁も2025年までに金融機関へ移行計画策定を求め、遅くとも2030年代半ばまでに量子コンピュータ時代への備えを完了するよう促しています。しかし、新しい暗号方式の実装と全世界的な切り替えには長い年月がかかる上、量子コンピュータ実用化までの間に盗まれたデータが“タイムカプセル”のように保存され、後から一気に解読される「ハーベスト攻撃」のリスクも指摘されています。要するに、量子コンピュータによる脅威は未来の話ではなく今この瞬間から既に始まっている課題なのです。
◼︎4, 「デジタル資産は裸同然」の覚悟を持つ
以上のように、デジタル技術の進歩は利便性と引き換えに新たなリスクを生み出しています。デジタル資産は裸同然――少し言い過ぎに聞こえるかもしれませんが、従来の常識や対策だけでは守りきれない局面が増えているのは事実です。銀行預金も証券口座も、金(GOLD)ですらETFなどデジタル商品として保有していれば同じくターゲットになり得ます。オンライン上に存在するすべての資産は、一歩間違えば一夜にして奪われたり価値を失ったりする危険と隣り合わせです。セキュリティ企業トレンドマイクロの分析でも「詐欺グループは最新技術を悪用しながら常に手口を変化させている。これら詐欺や攻撃は一過性ではなく、企業の注意喚起後も継続している」と指摘されています。つまり攻撃者側は日々進化し続けており、「これをやっておけば絶対安心」という万能策は存在しなくなりつつあるのです。
だからこそ重要なのは、「最終的には自分の資産は自分で守る」という自己責任の意識を持つことです。幸い、日本の証券会社の多くは不正アクセス被害についてある程度の補償制度を設け始めています。しかし補償には条件や限度があり、被害に遭えば手続きや心労も伴います。仮に全額が戻ったとしても、犯人を追跡する労力や精神的ショックは計り知れません。何より、一度でも資産を失えば大切な運用計画が狂ってしまいます。「被害に遭ったら補償してもらえばいい」ではなく、「被害に遭わないようにするにはどうすべきか」を常に考える姿勢が求められているのです。
個人にできる具体的なセキュリティ対策
では私たち個人投資家・資産保有者は具体的に何をすればよいのでしょうか。専門的な高度対策まで踏み込む必要はありませんが、基本的なセキュリティ習慣の徹底が何より重要です。以下に、デジタル資産を守るために今すぐ実践できるポイントをまとめます。
金融機関を装ったメールやSMSに記載のリンクは開かないのが原則です。たとえ差出人名やメール内容が本物そっくりでも、URLを細かく見ると公式ドメインとは異なる場合がほとんどです。メール本文中のリンクからではなく、自分で公式サイトを開いてログインし、通知事項を確認するようにしましょう。どうしても心配な場合は、そのメールはそのままにして証券会社や銀行のサポート窓口に直接連絡してください。公式から何か重要なお知らせが出ている場合、サポートを通じて確認・対処できます。
⚫︎公式アプリやブックマークからアクセスする
金融系サービスのログインには、信頼できる公式スマホアプリか、自分で公式サイトをブックマーク登録したものを利用しましょう。検索経由で偽サイトに誘導されたり、偽のスマホアプリをインストールさせられたりするリスクを減らすためです。
⚫︎必ず多要素認証を設定し、可能なら最新方式を利用する
パスワードだけのログインは論外です。必ずメールやSMSによるワンタイムパスワード等の多要素認証を有効化してください。また、証券会社や銀行によっては更に強力な「端末認証(デバイス認証)」や「生体認証(指紋・顔認証)」、セキュリティキー等を用いた方式を導入しています。利用できる場合は積極的に設定しましょう。例えばGoogle Authenticatorや各社専用アプリによるワンタイムコードもSMSより安全ですし、可能ならFIDO対応キー(YubiKey等)の利用も検討してください。多要素認証は万能ではありませんが、何も対策しない場合に比べ格段にリスクを下げられます。
⚫︎パスワード管理の徹底
パスワードは推測されにくい長さ・複雑さを確保し、使い回しは厳禁です。証券口座や銀行なら最低12~16桁以上、英大文字・小文字・数字・記号を組み合わせましょう。覚えきれない場合は信頼できるパスワード管理ツール(1PasswordやLastPass、またはOSやブラウザ内蔵の機能)を活用してください。定期的な変更よりも「使い回さず長く複雑に」が重要です。
⚫︎デバイスのセキュリティ対策
PCやスマホ自体の防御も大切です。OSやアプリは常に最新バージョンにアップデートし、ウイルス対策ソフトやセキュリティソフトを導入しましょう。最近のセキュリティソフトにはフィッシングサイトや不正アプリを検知する機能もあります。特に証券会社の取引に使う端末には余計なソフトを入れず、怪しいサイトや添付ファイルを開かないといった基本も改めて徹底してください。
⚫︎攻撃される面積(アタックサーフェス)を減らす
利用していない証券口座や銀行口座、不要な金融アプリは放置せず解約・停止を検討しましょう。使っていない口座が多いほど狙われるチャンスが増えます。また各サービスで不要な機能(例:ほとんど使わない送金機能等)があればオフにすることもリスク軽減につながります。シンプルですが有効な自己防衛策です。
⚫︎異変に早く気付く
日々の残高や取引履歴をチェックし、少しでも不審な動きがないか目を配りましょう。証券会社によってはログインや注文の都度メール通知を送る設定もあります。怪しいログイン通知や見に覚えのない注文確認メールを受け取ったら、それ自体が犯人からのフィッシングメールの可能性もありますが、まず公式サイトに直接アクセスして取引履歴を確認します。不正な注文が入っていれば即座にパスワード変更とサポートへの連絡を行い、口座ロック等の措置を依頼してください。発見が早ければ被害を最小限に抑えられる可能性があります。
上記は証券会社をかたるフィッシングメールの一例です。本物そっくりの差出人名・本文でリンクをクリックさせようとしていますが、実際のリンク先URLは公式ドメインとは異なる偽サイトに設定されています。「メール内のリンクは押さない」が鉄則です。心当たりのない連絡はまず疑い、直接公式サイトで確認しましょう。
おわりに:自己責任のもと、大切な資産を守る
以上、デジタル時代の資産防衛について最新の動向と対策を見てきました。サイバー犯罪は日々進化し、AIや量子コンピュータといった新技術まで登場しつつある今、残念ながらデジタル資産に「絶対安全」は存在しないと心得るべきでしょう。だからこそ、「無防備な時代」に立ち向かうためには私たち一人ひとりが防御力を高め、常に用心深くあることが求められます。でも述べられているように、賢い資産形成のためには常に警戒を怠らず冷静な判断と適切なセキュリティ対策を講じることが不可欠です。デジタル時代の投資は便利で手軽な半面、自己責任で守るべきリスクも大きいものです。「自分の資産は自分で守る」という強い意識を持ち、最新の脅威動向にアンテナを張りながら、ぜひ安全な資産運用を心がけてください。
