最近「証券口座乗っ取り」と呼ばれるサイバー犯罪が急増しています。小川的には、その詐欺の容易さに被害は拡大していくと見ています。実際に証券会社のネット口座に不正アクセスされ、預けた株式が勝手に売買される被害が多発中。証券口座をお持ちなら、どうか「自分は大丈夫」と油断せず、自分ごととしてご注意ください。
・闇に潜むオペレーターK ・被害拡大:証券口座が犯罪の道具に ・証券会社と保険会社の苦悩:消えた「1/2補償」 ・増える攻撃、求められる「多要素認証」 ・ユーザーにできる防犯策:あなたの資産を守るために ・おわりに:安心して「貯蓄から投資へ」を進めるために ・書籍紹介
闇に潜むオペレーターK
薄暗い部屋の中、複数のモニターに囲まれて一人の男が静かに笑みを浮かべました。男の名は「オペレーターK」。サイバー犯罪グループの一員である彼は、今まさに日本の個人投資家の証券口座を狙ったある“作戦”を進めています。
Kの画面には、とある銘柄の株価チャートが映し出されています。それは普段ほとんど取引のない、とても安値の小型株です。Kはすでにグループでこの銘柄を事前に買い集めていました。次の瞬間、Kは複数の証券口座にログインします。もちろん自分の口座ではありません。どこかの誰かのログインIDとパスワードを利用して、不正にアクセスした口座です。
「よし、かかったな。」Kは小声でつぶやき、ログインした被害者Aさんの口座を操作します。Aさんが長期保有していた有名企業の株式が目に留まりました。「まずはこれを売るか…」。KはAさんの口座にある株を全て勝手に売却しました。突然の売り注文に、Aさんが大切に持っていた優良株は市場で売り払われ、現金が口座に戻ります。
続いてKは、あらかじめ決めていた例の小型株をAさんの口座で大量に買い付け始めました。同時に、Kの仲間たちも他に乗っ取った複数の被害者口座で同じ銘柄を次々と買い始めます。「いいぞ、上がってきた…!」いつもは出来高の少ないその銘柄は、突然の大量買いによって株価が急騰し始めました。画面にはまるでロケットのように株価が急上昇する様子が映っています。
Kは自分たちが事前に安く仕込んでおいた株をじっと見つめ、タイミングを計りました。そして株価がピークに達した瞬間、Kたちは自分たち名義で保有していたその銘柄の株をすべて市場で売却します。「計画通り…!」Kのグループは高騰した株を売り抜け、多額の利益を確保しました。
一方で、Aさんの証券口座を含め被害者たちの口座には、急騰後に暴落する運命の小型株だけが残されました。被害者の口座では、いつの間にか見知らぬ銘柄が山積みになり、大切な資産が大幅に目減りしているのです。Aさんはまだこの異変に気づいていません。夢にも思わないでしょう——自分の口座がまるで犯罪者の「お財布代わり」に使われ、「お金は盗まれていないのに資産を奪われる」という前代未聞の被害に遭っていることを。
被害拡大:証券口座が犯罪の道具に
上記のような巧妙な犯行手口は2023年末頃から徐々に確認され始め、2025年春にかけて一気に顕在化しました。犯罪グループは、ネット証券のログインID・パスワードを入手して複数の顧客口座に不正アクセスし、被害者本人が知らないうちに勝手に株が売買されるという新手のサイバー犯罪を展開しています。従来の銀行口座やクレジットカードの不正利用のように直接現金を抜き取るのではなく、乗っ取った証券口座を使って市場で取引を行い利益を得る点が大きな特徴です。言わば、「あなたのお金で他人が株取引をして儲ける」という非常に悪質で厄介な手口なのです。
このような被害は今年(2025年)に入ってから爆発的に増えており、金融庁の発表によれば1~5月の不正取引件数は合計5,958件、売買総額は5,240億円にも達しました。件数は4月末時点から1.6倍、金額は1.7倍と被害規模は拡大の一途を辿っています。特に3月以降に急増しており、4月単月では不正売買額が約2,886億円に上ったとの報道もあります。被害は当初ネット専業の証券会社で目立ちましたが、準大手や中堅を含む計16社に広がったとの情報もあり、特定の業者だけでなく業界全体で注意が必要な状況です。
被害者の中には少額投資非課税制度(NISA)で投資を始めたばかりの初心者も含まれています。「過去に例を見ない手口」であり、NISA口座も標的になっていると報じられています。せっかく「貯蓄から投資へ」という流れで新たに投資デビューした方々が、思わぬサイバー犯罪の犠牲となっているのです。
では、犯人たちはどのようにして私たちの証券口座のID・パスワードを手に入れているのでしょうか?実は手口は一つではありません。もっとも多いのは証券会社を装ったフィッシングメールです。巧妙に作られた偽サイトに誘導され、ログイン情報を入力してしまうと、その情報がまるごと盗まれてしまいます。実際、証券会社を騙る偽メールやSMSで利用者を欺き、ID・パスワードを盗み取るケースが数多く報告されています。メールの文面は一見本物そっくりですが、細かい点を見ると不自然な日本語や偽のURLが含まれていることがあります(例:「証券会社」の漢字の字体が微妙に異なる等)。
一方で、「自分は怪しいメールは踏まないよう注意していたのに被害に遭った」という人もいます。こうした場合、パソコンがマルウェア(ウイルス)に感染して情報が抜き取られた可能性があります。専門家によれば、フィッシングに加えて「Adversary-in-the-Middle(AiTM)攻撃」や「情報スティーラー型マルウェア」といった高度な手口が使われた可能性も指摘されています。AiTMとは正規のログインと偽サイトを中継することでワンタイムパスなどの認証情報すら傍受してしまう手法です。また情報スティーラーはパソコン内のID・パスワード等を盗み出すウイルスで、ユーザーの気付かぬうちにログイン情報が漏洩してしまいます。このように熟練の投資家ですら被害に遭うケースが出てきており、事実5月には有名個人投資家のテスタ氏が「二段階認証を設定しウイルス対策も万全だったのに口座を乗っ取られた」と報告し話題になりました。もはや「自分だけは平気」という考えは通用しない状況と言えるでしょう。
証券会社と保険会社の苦悩:消えた「1/2補償」
被害が明るみに出た当初、何より頭を抱えたのは証券会社側でした。冒頭のKの犯行で見たように、犯人は直接現金を盗むわけではありません。そのため「現金が盗まれたわけではない。被害額の算定が本当に難しい…」と、大手証券会社の首脳は途方に暮れました。顧客にとっては資産が減ったのは事実でも、その金額をどの時点の株価で算出すべきか、相場変動のどこまでが不正による影響かなど評価が極めて難しいのです。例えば、犯人が暴落させた後に運悪く市場全体が下落したら、その損失は誰の責任なのか?株主優待や配当の権利を失った場合は補償するのか?──議論のポイントは多岐にわたります。ある証券会社幹部は「個別に対応するしかない」と漏らしたとも報じられています。まさに前例のない事態に各社とも対応に苦慮したのです。
実は各証券会社の利用規約(約款)では、ID・パスワードの流出による第三者取引は補償しない旨が明記されています。これは金融商品取引法に「損失補填の禁止」という条項があるためです。過去に証券会社が富裕層顧客の損失を肩代わりして問題になった歴史があり、その反省から本来、証券会社は顧客の損失補填をしてはいけない建前なのです。したがって当初は「被害が出ても補償は難しい」という説明が4月上旬頃までなされていました。
しかし被害の拡大と世論の高まりを受け、5月2日には野村証券や楽天証券など大手10社が被害顧客への補償方針を表明しました。ただしその発表文でも「一定の被害補償」とぼかすに留まり、補償範囲や条件の詳細は明確に示されないままでした。実は業界内で一時、「多要素認証の不備で不正があった場合は被害額の2分の1を補償しよう」というような統一基準案も検討されたと言います。ところが、前述の通り被害額の算出が非常に複雑なため各社の足並みは揃わず、この「1/2補償案」は立ち消えとなりました。結局、各社が異例の臨時措置としてケースバイケースで補償に応じる方針となったのです。
「異例の措置」とはいえ、顧客側に過失があれば補償しない可能性もあるとされています。例えば、明らかにフィッシング詐欺メールに引っかかってID・パスワードを漏らしたような場合や、セキュリティ強化策(後述の多要素認証など)を怠っていた場合などは「顧客の落ち度あり」と判断され、補償対象外となる恐れもあります。このあたりの過失認定基準が曖昧なことも、補償方針を明確化しづらい理由の一つでした。銀行業界ではフィッシング詐欺被害について業界で補償基準を取り決め、2016年には「被害者のどんな行為が補償減額につながるか」の具体例を示しています。クレジットカード業界でも「被害の申告が60日以内、暗証番号の漏えいなど過失なしなら全額補償」といった明確なルールがあります。また米国の大手ネット証券チャールズ・シュワブなどでは「顧客が口座情報を第三者に渡すなどの重大な過失がない限り、不正アクセス被害は原則全額補償する」と定めている例もあります。それに比べると、日本の証券業界は補償ルールが不透明で、利用者にとっては不安が残る状況と言えます。
さらに盲点だったのが保険の問題です。今回の不正取引による損失は、仮に被害者がサイバー保険に加入していても保険金支払いの対象外となる見通しであることが明らかになっています。損害保険各社は「株式口座の不正売買は補償対象外」との見解を示しており、被害をカバーできる保険商品が存在しないのです。ある60代の被害者男性(妻の証券口座が被害に遭った)は「補償内容がどの程度になるのかわからない。老後資金の一部を失い将来に不安を覚えている」と憤っています。せっかく増やした資産を理不尽な犯罪で失ってしまい、十分な補償もない──多くの被害者が同じような怒りや不安を抱えていることでしょう。
増える攻撃、求められる「多要素認証」
犯罪グループによる証券口座乗っ取りがここまで大規模に広がった背景には、証券会社側のセキュリティ体制の不備も指摘されています。特に問題となったのが多要素認証(MFA)の導入遅れでした。多要素認証とは、ログイン時にパスワード(知識情報)に加えて、スマホに送られるワンタイムコードや指紋認証など(所持情報・生体情報)を組み合わせることで、セキュリティを飛躍的に高める仕組みです。パスワードだけの単要素認証に比べ、万一ID・パスワードが盗まれても他の要素がなければログインできないため、不正アクセスの強力なストッパーになります。
ところが、日本の証券業界では長らくこの多要素認証が利用者任意のオプション扱いで、必須ではない会社が多くありました。実際、今回大量の被害が発生した背景として「SBI証券や楽天証券などで、多要素認証なしにログインできてしまう状態だった」ことが挙げられています。大手ネット証券の一つである楽天証券ではセキュリティの甘さが指摘され、事件後に二要素認証の仕組みを何度も変更するなど慌てて対策を進めたようです。SBI証券の髙村社長も「多要素認証を原則義務化する環境を整えていなかった。(中略)今回に限ってこうした措置(補償)を講じる」とコメントしており、業界として自社のセキュリティ体制に不備があったことを半ば認める発言をしています。
金融庁や日本証券業協会も重い腰を上げました。4月25日には証券会社58社がインターネット取引時のログインにおいて多要素認証の設定を必須化する方針を決定・公表しています。野村証券、大和証券といった大手から中小証券まで幅広い会社が参加しており、今後は証券業界全体で順次MFA必須対応が進められる見込みです。また日本証券業協会は、サイバー攻撃対処の詳細を定めた業界統一ガイドライン策定にも乗り出しました。国や業界を挙げて再発防止策を急がなければ、「貯蓄から投資へ」という時代の流れも止まりかねないと懸念されています。
ユーザーにできる防犯策:あなたの資産を守るために
業界の対策強化は心強い動きですが、何より重要なのは私たち利用者一人ひとりが自衛策を講じることです。幸い、基本的な対策をしっかりしておけば被害に遭うリスクを大きく減らすことができます。「自分の資産を守るために何ができるか?」を、初心者の方にもわかりやすくまとめてみましょう。
◼︎1, 証券会社からのメールやSMSは常に疑う
たとえ一見本物らしいメールでも、本文中のリンクはクリックしないこと。公式サイトにログインする時は、自分でブックマークした正しいURLからアクセスしましょう。「至急ログインしてください」等の誘導メッセージはフィッシングを疑い、まず証券会社公式の連絡先に自分で問い合わせて確認すると安心です。「メールはすべて疑ってかかる」くらいの慎重さでちょうど良い、と専門家も指摘しています。
◼︎2, パスワード管理の徹底
証券口座のパスワードは他のサービスと使い回さず、推測されにくい十分長い文字列にしましょう。過去に他サイトから流出したID/パスワードのリストを使ってログインを試す「リスト型攻撃」も起きていますので、使い回しは厳禁です。また定期的に変更することも有効です(ただし変更時にフィッシングサイトに誘導されるケースもあるため、その点は要注意)。
◼︎3, 多要素認証(2段階認証)は必ず設定
証券会社が提供しているワンタイムパスワードやスマホ認証アプリなどの多要素認証は面倒がらず必ず有効化しましょう。ログイン時だけでなく、可能であれば取引実行時や出金時にも追加認証を要求する設定が提供されていれば活用してください。犯人側にとって、多要素認証が有効になっている口座は「鍵が二重三重にかかった金庫」のようなもので簡単には狙えません。実際、今回大規模に被害が起きた背景にはMFA未設定の口座が狙われた事情があります。100%万能ではないにせよ(高度な攻撃で突破される例もゼロではありませんが)、大多数の犯罪者はより脆弱な標的を探すものです。しっかり施錠(=MFA設定)された口座は狙われにくくなると考えてください。
◼︎4, 取引通知サービスの活用
証券会社によっては、ログインや注文が行われるとメールやスマホ通知が飛ぶサービスがあります。可能な限り設定しておき、不審な通知を受け取ったら即座にログインを試みてパスワード変更や証券会社への連絡を行いましょう。冒頭のテスタ氏のケースでも、2段階認証の確認メールで不正アクセスの兆候に気付き被害を最小限に食い止めることができました。怪しい動きにいち早く気付くためにも通知設定は重要です。
◼︎5, デバイスのセキュリティ対策
パソコンやスマートフォンには最新のウイルス対策ソフトを導入し、OSやブラウザも常に最新の状態にアップデートしておきましょう。情報を盗むマルウェア対策には有効です。また、不正サイトへの誘導広告をブロックする拡張機能の利用や、怪しいサイトに不用意にアクセスしない習慣づけも大切です。
◼︎6, 定期的な口座チェック
忙しくても最低週に一度は証券口座の状況を確認しましょう。見知らぬ取引履歴や覚えのない保有銘柄がないかチェックすることで、万が一侵入されても早期発見・対処が可能になります。放置期間が長いほど被害が拡大する恐れがあります。
これらの対策は決して難しいITスキルを要するものではありません。家の戸締まりを確認するように、ネット証券の「鍵」もしっかりかける習慣を身につけましょう。幸い証券業界全体でセキュリティは強化されつつあります。初心者の方も怖がりすぎる必要はありませんが、「備えあれば憂いなし」です。
おわりに:安心して「貯蓄から投資へ」を進めるために
今回解説した証券口座乗っ取り事件は、サイバー犯罪者が一枚上手だった新種の犯行と言えます。しかし業界・行政も対策に乗り出し、被害拡大を食い止めようとしています。今後はルール整備やガイドライン策定が急がれています。私たち利用者も正しい知識と対策で身を守り、犯罪者にスキを与えないことが肝心です。せっかく始めた資産運用を卑劣なハッカー集団に台無しにされないよう、ぜひ本記事を参考に日頃からセキュリティ意識を高く保ってください。「貯蓄から投資へ」の潮流を止めないためにも、一人ひとりが安全に投資を楽しめる環境を整えていきましょう。参考にしていただけら幸いです。
