近年、量子コンピューターの実用化が現実味を帯びています。もし量子コンピューターが本格稼働すれば、これまで安全だと信じられてきた暗号技術が破られる可能性があります。例えば現在、私たちの銀行口座や証券口座のログイン、送金にはパスワードや暗証番号、暗号化通信などが使われています。しかし量子コンピューターは、従来なら何千年もかかるような暗号解読を一瞬でやってのける「究極の金庫破りツール」とも言えます。10年後には現在の暗号が容易に解読されるとも言われ、対策を10年待つのでは手遅れだという声すらあります。では、そのとき私たちの大切なデジタル資産(銀行預金や証券の保有資産)はどうなってしまうのでしょうか?
本記事では、「量子コンピューター時代に日本人のITリテラシーでデジタル資産を守れるのか?」という問いについて考えてみます。ちょっと怖い話も出てきますが、「小川からの注意喚起」と思って、ぜひ最後までお読みください。今起きている具体的な事件やデータをもとに、日本人の金融ITリテラシーの現状と課題、そして私たちが取るべき対策について一緒に見ていきましょう。
・量子コンピューターで暗号が破られる?!目前に迫る現実 ・日本の金融ITリテラシーは大丈夫?ドコモショップに頼る現状 ・日本が世界の詐欺標的に?“詐欺天国”になる危険 ・事例:PayPayとWINTICKETの「ログイン不要決済」悪用事件 ・危機感を持ち、リテラシー向上で資産を守ろう ・書籍紹介
量子コンピューターで暗号が破られる?!目前に迫る現実
まず押さえておきたいのは、量子コンピューターの登場が与えるセキュリティへの衝撃です。量子コンピューターは特殊な物理現象を利用して計算を行うため、現在のどんなスーパーコンピューターよりも桁違いに高速な計算が可能になります。その「得意分野」の一つが暗号の解読です。現在インターネット銀行や証券会社のオンライン取引で使われている暗号技術(例えば公開鍵暗号RSAや共通鍵暗号AESなど)は、現状のコンピューターでは解読に非常に長い時間がかかるため安全が保たれています。ところが量子コンピューターを使えば、これらの暗号が比較的短時間で破られてしまう可能性があります。
たとえばRSA暗号は、大きな数を素因数分解するという「難問」に安全性の根拠があります。しかし量子コンピューターはショアのアルゴリズムという特殊な手法で素因数分解を高速に行えるため、RSAが無力化される恐れがあるのです。これは言い換えれば、今までは「絶対に開かない金庫」だったものが、量子コンピューターという名の新型バールのようなもので簡単にこじ開けられるようになることを意味します。
もちろん、世界中で対策も始まっています。アメリカでは「ポスト量子暗号(PQC)」と呼ばれる新しい暗号方式の標準化が進められ、米国政府機関では量子コンピューターに耐える暗号への移行が義務付けられました。欧州でも同様に、将来を見越して今から備えるよう呼びかける報告書が出されています。日本でも産学官で研究が進みつつありますが、一般の私たちにとっても決して他人事ではありません。銀行や証券会社が新しい暗号方式へ移行するまでは、量子コンピューターが犯罪者に悪用されれば現在のネットバンキングや証券取引の安全神話が崩れる可能性も指摘されています。
10年後に「気づいたら資産が盗まれていた」なんてことにならないように、私たち利用者側も危機意識を高く持つ必要があります。技術的な対策は専門家に任せるとしても、「そんな未来が来るらしい」ことを知っているか知らないかで心構えは大きく違います。量子コンピューターによる脅威が現実味を帯びる今、「自分の資産は自分で守る」ためのリテラシーを身につけることがますます重要になってきているのです。
日本の金融ITリテラシーは大丈夫?ドコモショップに頼る現状
では、日本人のデジタル資産を守るITリテラシー(デジタル機器やサービスを安全に使いこなす力)は十分と言えるでしょうか?残念ながら、現状では課題が多いと言わざるを得ません。実は最近、象徴的なニュースがありました。ネット証券大手のマネックス証券が、2025年7月からウェブやアプリのログイン時に多要素認証(ワンタイムパスワードなど)の設定を必須化しました。背景には、マネックス証券を装ったフィッシング詐欺や不正ログイン被害が実際に起きていたことがあります。セキュリティ強化のため、今後はログイン時にID・パスワードに加えてスマホ認証などを必ず使うようにしたのです。
この施策自体は大変望ましいのですが、驚くべきはその後日談です。NTTドコモが全国のドコモショップ店頭やコールセンターで、マネックス証券の多要素認証設定を手取り足取りサポートするサービスを開始したのです。スマホの基本操作からサポートし、「お客様のペースで安心して設定いただける」ようスタッフが付き添うというもの。一見すると親切なサービスですが、裏を返せば「利用者自身では安全対策の設定ができない人が相当数いる」現状を示しています。
実際、日本では金融サービス利用におけるITリテラシーの遅れが指摘されています。証券口座の開設ひとつとっても、オンラインでスムーズにできず店舗の助けを借りるケースも少なくありません。上記のドコモの例はまさに象徴的で、「セキュリティ強化のための多要素認証を自力で設定できない利用者が多い」という実情が浮き彫りになりました。「スマホは難しくて触れない」「メールなんて見ない」という高齢の方だけでなく、デジタル世代と言われる若年層でもセキュリティ設定を敬遠しがちな人は存在します。便利なネット証券やスマホ決済をみんな使うようになりましたが、その裏側のリスクや安全設定についての知識が追いついていないのです。
例えば皆さんは、ネット銀行や証券会社のパスワードに二段階認証(ワンタイムパスワード)を設定していますか?パスワードの使い回しはしていないでしょうか?フィッシングメールが来たとき、きちんと見分けられる自信はありますか?──もし答えに詰まるようであれば、残念ながらそれは「危ない橋を渡っている」状態です。量子コンピューター云々の前に、現時点でも基本的なセキュリティ対策が不十分では、自分のデジタル資産を守ることは難しいでしょう。
日本が世界の詐欺標的に?“詐欺天国”になる危険
セキュリティ意識の遅れは、残念ながら既に日本を詐欺の標的にしつつあるようです。信じがたいデータですが、2025年2月時点で世界中のメール攻撃(フィッシング詐欺メールなど)のうち実に80.2%が日本に向けられていたとの調査結果があります。今年に入って世界規模でメール詐欺が激増する中、その矛先の大半が日本だったのです。これは異常事態と言えます。(2025年2月の全世界の新種メール攻撃のうち約80%が日本をターゲットにしています。この傾向はさらに加速しており、2025年4月にはその割合が83.6%にまで上昇しました。)
なぜここまで日本ばかり狙われるのでしょうか?専門家は三つの要因を指摘しています。
一つ目は言語の壁が崩れたことです。かつて海外から日本人を狙うフィッシング詐欺メールは、日本語の不自然さからすぐバレていました。しかし今や生成AI(ChatGPTのような人工知能)のおかげで、詐欺メールでも非常に流暢な日本語で書かれているのです。「日本語が変だから怪しい」と思っていた従来の勘が通用しなくなりました。まだ「詐欺メールは日本語が変」と信じて油断している人ほど、「日本語が完璧だから本物だろう」と逆に騙されてしまう危険があります。
二つ目の要因は、日本人(や日本企業)が狙われるだけの“うまみ”があることです。日本人の個人情報(住所氏名、カード情報、ログイン情報など)は闇市場で高値で取引されますし、日本企業の知的財産も世界的に見て魅力的な標的です。つまり「攻撃する価値がある獲物」だと思われているわけです。
三つ目は推測の域を出ませんが、地政学的な理由です。昨今日本では妙にDDoS攻撃(サービス妨害攻撃)が頻発していますが、そのタイミングと合わせてフィッシングメールも増えていることから、国家ぐるみで日本を混乱させようという動きではないか、とも言われています(例えば台湾有事を見据えた中国のサイバー攻撃準備、など)。
理由はどうあれ、「日本はサイバー攻撃に対する守りが弱い」と見なされてしまっていることは否定できません。このままでは「日本は世界一の詐欺天国」などと不名誉な烙印を押されかねません。実際問題、今年に入って日本国内でネット銀行・証券の不正利用被害が激増しています。金融庁の発表によれば、証券会社のオンライン口座への不正アクセス被害件数は2025年1月に65件だったものが、4月には4,852件と桁違いに増加しました。犯人はフィッシング詐欺でログイン情報を盗み、乗っ取った証券口座で勝手に株を売買する「証券口座乗っ取り事件」を多数引き起こしました。幸い直接預金を引き出されるケースは少ないものの、被害総額はわずか数か月で数百億円規模に達しています。もはや対岸の火事ではありません。あなたの証券口座や銀行口座も、明日狙われない保証はないのです。
こうした状況に、金融各社や当局も重い腰を上げ始めています。前述のマネックス証券のように多要素認証の義務化に踏み切るところが出てきましたし、フィッシング対策協議会からの注意喚起も頻繁に発出されています。しかし技術的な防御策と同じくらい大事なのが、利用者一人ひとりの意識と行動です。「私はITに詳しくないから」「自分は狙われないだろう」といった油断こそが、詐欺師たちにつけ込まれるスキです。特に最近の詐欺手口は巧妙化しており、一見すると公式メールや公式サイトと区別がつかないケースも増えました。常に疑ってかかるくらいで丁度いいのです。メールやSMSに記載のリンクはむやみに開かず、心当たりのないサービス連携は即解除する、パスワードは使い回さず定期的に変更する──基本的なことですが、自分の身を守るために絶対欠かせないポイントです。
事例:PayPayとWINTICKETの「ログイン不要決済」悪用事件
「具体的にどんな手口で狙われるの?」と思われる方のために、最新の事件を紹介しましょう。今年(2025年)6月に発覚した、スマホ決済サービス「PayPay(ペイペイ)」と公営競技の投票サービス「WINTICKET(ウィンチケット)」の連携機能を悪用した詐欺事件です。これはSNSでも大きな話題となり、被害者の生々しい体験談が拡散されました。
手口を簡単に説明します。ある日、被害者のもとに「PayPayカード株式会社」を名乗るメールが届きました。「●●円のご利用料金が確定しました。詳細は下記リンクからご確認ください」といった内容で、一見すると公式の請求案内メールそのものです。心当たりのない請求に驚いてメール内のリンクをクリックすると、PC上にQRコードが2つ表示されました。メール受信者は、「PayPayにログインして確認するための認証かな?」と思い込み、スマホのPayPayアプリでそのQRコードを順にスキャンしてしまいます。実はこれこそが犯人の狙いでした。
QRコードを2回スキャンしただけで、被害者の銀行口座から次々とお金が引き出されてしまったのです!被害者のPayPay残高は1万円しかなかったにもかかわらず、連携された銀行口座から自動でチャージが繰り返され、最終的に約73万円もの大金が何者かに使われてしまいました。PayPayアプリの画面上で、自分の残高がどんどん引き落とされて見知らぬ支払いに消えていく──そんな悪夢のような光景を目の当たりにしたそうです。
いったい何が起きたのでしょうか?犯人はPayPayの「スマートペイメント」と呼ばれる機能を悪用していました。スマートペイメントとは、本来ユーザーの利便性向上のために提供されているもので、提携サービス側の画面上でPayPay決済を完結できるようにする仕組みです。通常であれば、例えばWINTICKETで車券を買う際に都度PayPayにログインし直す手間を省くため、連携を許可しておけばWINTICKETの画面から直接PayPay支払いができるという便利な機能でした。しかし今回はフィッシングメールで偽サイトに誘導し、その場でPayPayとWINTICKETを連携させてしまうという手口が使われたのです。被害者自身は「QRコードでログイン認証した」と思っていますが、実際には犯人が用意した偽サイト経由でWINTICKETとPayPayのアカウント連携が行われ、ログイン不要の自動決済が第三者によって実行されてしまったというわけです。
この事件から私たちが学ぶべき教訓は多々あります。まず、メールのリンクやQRコードは絶対に安易に開かないこと。今回はメールから偽サイトへ飛ばされてQRコードを見せられましたが、「公式アプリや公式サイトから確認する」という基本を守っていれば防げたはずです。また、PayPayなど外部サービス連携の管理を定期的にチェックすることも重要です。PayPayアプリの「外部サービス連携」画面では、どのサービスと連携済みか確認・解除できます。身に覚えのない連携があれば即解除すべきですし、使っていない連携も放置しない方が安全でしょう。
幸い、このスマートペイメント詐欺についてはPayPay側も迅速に対応し、問題の連携手順(QRコードを使ったアカウント連携)を一時停止するとともに、連携時に必ずユーザー確認を挟むよう仕様変更を実施しました。被害に遭った場合もPayPayの規約上「第三者の不正利用による被害」として補償の対象になるとの発表もあります。しかし、だからといって安心はできません。この犯人たちは氷山の一角であり、手を変え品を変え新たな手口で狙ってくる可能性は十分あります。便利さと引き換えに生じるリスクを理解し、私たち利用者側も最新の手口にアンテナを張っておく必要があります。
危機感を持ち、リテラシー向上で資産を守ろう
量子コンピューター時代の到来を控え、そして今まさにサイバー犯罪者に狙われつつある状況下で、日本人の金融ITリテラシー向上は待ったなしです。暗号技術の進化やシステムの安全対策は専門家に任せるとしても、我々一人ひとりが「カモ」にされないための自衛策を取ることが何より大切です。
本記事で紹介したように、どんなに技術が進んでも最後の砦はユーザー自身の注意深さです。幸い、多くの詐欺はユーザーの不注意につけ込む形で成立しています。逆に言えば、基本を徹底し冷静に対処すればかなりの割合の被害は防げます。
例えば
- メールやSMS内リンクは安易に開かない(公式サイトや公式アプリから自分でアクセスする習慣をつける)。
- パスワード管理を徹底する(使い回し禁止・定期変更・推測されにくい複雑なものにする。可能ならパスワード管理ツールを活用)。
- 多要素認証を必ず有効にする(少し面倒でも、自分の資産を守る保険と思って設定する)。
- 外部サービス連携や利用中のアプリ権限を定期的に見直す(心当たりのない連携は解除し、使わないアプリは削除する)。
- 最新の詐欺事例をチェックする(ニュースやフィッシング対策協議会の情報をときどき確認し、自分や家族にも共有する)。
これらはほんの基本的なポイントですが、実践できていない人が多いのも事実です。「知っている」と「実際にやっている」には大きな隔たりがあります。ぜひこの機会に、自分のデジタル資産の守りを点検してみてください。
量子コンピューターの脅威が現実になる未来に備えて、そして今まさに横行している巧妙な詐欺から身を守るために、私たち一人ひとりがITリテラシーを高めることが求められています。ちょっと怖い話が続きましたが、「備えあれば憂いなし」です。正しい知識と慎重な行動で、来たるべき変化の時代も大切な資産をしっかりと守っていきましょう。これから投資を始める方も、今まさに運用中の方も、「自分だけは大丈夫」と思わずに、一緒に危機意識を持って安全なデジタル資産運用を心がけていただければ幸いです。皆さんの資産がこれからも安全に守られることを願っています。
