SBI証券→デバイス認証の必要ないバックアップサイトで取引可能
楽天証券→乗っ取り被害、二段階認証も意味ない
これは本当ですか?
一体、日本では何が起こっているのですか?
日本で証券口座の乗っ取り被害が急増している背景には、
サイバー犯罪集団による組織的な攻撃が進行している状況があります。
特に、楽天証券やSBI証券などの
大手ネット証券が標的となっており、
フィッシング詐欺やマルウェアを駆使した
巧妙な手口で顧客のログイン情報が盗まれ、不正取引が行われています。
以下に、質問のポイントごとに状況を整理し解説します。
1. ニュースの概要:証券口座乗っ取りの急増
2025年に入り、楽天証券、SBI証券、
野村證券、マネックス証券、SMBC日興証券など、
複数の証券会社で顧客口座の不正アクセス被害が報告されています。
金融庁によると、
2025年2月1日から4月16日までの約2.5カ月で
不正取引件数は1,454件、被害総額は約954億円
(不正売却506億円、不正買付448億円)に上ります。
主な手口は以下の通りです。
!フィッシング詐欺
証券会社を装った偽メールやSMSで
偽サイトに誘導し、IDやパスワード、取引暗証番号を盗む。
!マルウェア(インフォスティーラー)
不正プログラムを通じて認証情報を窃取。
!アドバーサリー・イン・ザ・ミドル(AiTM)
通信を傍受し、認証情報をリアルタイムで盗む手法。
攻撃者は盗んだ口座を利用して、
流動性の低い中国株や日本株を大量購入し、
株価をつり上げて利益を得る「相場操縦」を目的としているとみられます。
現金の不正出金は確認されていませんが、
被害者の保有資産が勝手に売却され、
意図しない取引による損失が発生しています。
2. SBI証券:
デバイス認証の必要ない
バックアップサイトについて
SBI証券では、デバイス認証
(特定の端末にログインを制限する仕組み)を導入していますが、
Xの投稿で指摘されている「バックアップサイト」に関する情報は、
HYPER SBI2などの特定のツールや旧システムが
デバイス認証を回避できる可能性を示唆しています。
この点について
事実の確認
SBI証券の公式発表では、
バックアップサイト自体の脆弱性に関する具体的な言及はありません。
ただし、2020年9月の不正アクセス事例では、
ログインIDやパスワードが不正入手され、
銀行口座の変更や資産売却が行われたケースが報告されています。
類似の抜け穴が現在も存在する可能性は否定できません。
問題の背景
デバイス認証を回避できる経路が存在する場合、
攻撃者は正規の認証情報を利用して不正ログインを試みることが可能です。
SBI証券はフィッシング詐欺や
マルウェアによる被害を2025年1月頃から確認し、注意喚起を行っています。
対策
SBI証券は多要素認証(FIDO認証、生体認証など)
をアプリで提供しており、ユーザーに設定を推奨しています。
バックアップサイトの利用を避け、
公式アプリやセキュリティキーボードを使用することが安全性を高めます。
ただし、バックアップサイトの具体的な脆弱性については、
公式な検証情報が不足しているため、推測の域を出ません。
ユーザーは不審なリンクをクリックしない、
パスワードを使い回さない、
定期的に認証情報を更新するなどの基本的な対策を徹底する必要があります。
3. 楽天証券:
二段階認証が意味ないのか?
楽天証券での不正アクセス被害は2024年末頃から増加し、
2025年3月にはフィッシング詐欺による不正ログインが多発。
特に、顧客の保有株が売却され、
中国株が勝手に購入されるケースが目立ちます。
Xの投稿で「二段階認証も意味ない」
との声が上がっていますが、この点について以下のように分析します。
二段階認証の仕組み
楽天証券の二段階認証(ログイン追加認証)は、
IDとパスワードに加え、登録メールアドレスに
送られる画像選択やSMS認証を要求するものです。
これにより、単純なパスワード漏洩ではログインが難しくなります。
「意味ない」とされる理由
フィッシング詐欺の進化
偽サイトが本物のログイン画面を模倣し、
二段階認証の入力画面まで再現している可能性があります。
被害者が偽サイトで認証情報を入力してしまうと、二段階認証も突破されます。
マルウェアやAiTM攻撃
インフォスティーラーや通信傍受により、
認証情報がリアルタイムで盗まれるケースでは、
二段階認証の効果が限定的です。
ユーザー側の過失
二段階認証を設定していないユーザーや、
パスワードを使い回している場合、攻撃の成功率が高まります。
報道では「フィッシング詐欺に引っかかっていない」
と主張する被害者もいますが、
意図せずマルウェアに感染している可能性があります。
実際の有効性
専門家は「二段階認証だけで100%守れるわけではない」と指摘しますが、
設定することで不正アクセスの難易度は確実に上がります。
楽天証券は二段階認証の設定を強く推奨しており、
2025年3月22日以降、積極的に案内しています。
テスタ氏の被害
Xで言及された有名投資家テスタ氏の被害は、
二段階認証を設定していたにもかかわらず
不正アクセスを受けた事例として注目されています。
詳細は不明ですが、
マルウェアや高度な攻撃手法
(例:セッションハイジャック)が関与した可能性が考えられます。
テスタ氏は迅速に対応し、口座をロックすることで被害を最小限に抑えたと報告しています。
証券口座乗っ取り急増と対策の結論
二段階認証が「全く意味ない」わけではありませんが、
現在の攻撃手法の巧妙化により、
単独では完全な防御が難しい場合があります。
楽天証券はセキュリティ強化として、
SMS認証や取引暗証番号の再設定も推奨しています。
4. 日本で何が起こっているのか?
日本で起きている証券口座乗っ取りの急増は、
以下の要因が絡み合った結果です。
サイバー犯罪の標的化
ネットバンキングやスマホ決済の
セキュリティ強化が進んだことで、証券口座が新たなターゲットに。
口座数が急増(2024年12月時点で3,743万口座、3年で3割増)し、攻撃の規模が拡大。
新NISAの影響
少額投資非課税制度(新NISA)の普及で個人投資家が増加。
投資初心者がフィッシング詐欺に引っかかりやすい。
国際的な犯罪組織の関与
中国からのアクセスが多いとの指摘があり、
低位株の相場操縦を目的とした組織的犯罪が疑われています。
被害銘柄は中国株や香港株、日本株の低流動性銘柄が中心。
セキュリティの脆弱性
一部の証券会社で古いシステムや
認証の抜け穴が悪用されている可能性(例:SBI証券のバックアップサイト)。
また、ユーザーのセキュリティ意識の低さ
(パスワード使い回し、偽リンクのクリック)も被害を拡大。
被害者保護の課題
証券取引では「ログイン後の取引は本人によるもの」
とみなされるため、補償が難しいケースが多い。
楽天証券は個別対応を検討するとしていますが、
被害者の「泣き寝入り」が問題視されています。
5. 対策と今後の展望
個人投資家ができる対策
二段階認証の設定
楽天証券、SBI証券ともに必須。
未設定の場合は即時対応を。
パスワード管理
使い回しを避け、定期的に変更。
強力なパスワードを設定。
不審なリンクを避ける
メールやSMSのリンクはクリックせず、
公式サイトをブックマークしてアクセス。
デバイスセキュリティ
ウイルス対策ソフトを導入し、
怪しいサイトやアプリを避ける。
取引の監視
不審な取引がないか定期的に口座を確認。
異常があれば即座に証券会社に連絡。
証券会社の対応
多要素認証の義務化
2025年4月25日、日本証券業協会は
58社で多要素認証の必須化を決定。
楽天証券やSBI証券も対応を強化。
注文制限
楽天証券は中国株582銘柄の買い注文を一時停止。
SBI証券や野村證券も同様の措置を実施。
監視強化
日本取引所グループや証券取引等
監視委員会が不正取引の監視を強化。
社会的課題
法制度の整備
不正取引の補償範囲や被害者保護の仕組みが不十分。
金融庁や業界全体での対応が求められる。
国際協力
海外からの攻撃に対応するため、
警察や国際機関との連携が必要。
投資家教育
新NISA利用者の増加に伴い、
セキュリティリテラシーの向上が急務。
6. 総括
証券口座乗っ取りの急増は、
サイバー犯罪の高度化と日本の投資ブームが交錯した結果です。
SBI証券のバックアップサイト問題や楽天証券の二段階認証の限界は、
システムの脆弱性やユーザー側の意識の課題を浮き彫りにしています。
ただし、二段階認証は依然として有効な防御策の一つであり、
設定していない場合は直ちに対応すべきです。
日本では、個人投資家の資産を守るため、
証券会社、規制当局、投資家自身が連携して対策を強化する必要があります。
攻撃の手口は日々進化しているため、
最新の注意喚起をチェックし、自己防衛を徹底することが不可欠です。
(注:本回答は2025年5月1日時点の情報に基づいています。
状況は刻々と変化するため、最新情報を確認してください。)
コメント