2025年に入り、証券口座の乗っ取り被害が急増しています。金融庁の発表によると、1月から4月末までの約3か月間で、不正取引の件数は3,505件、被害総額は約3,049億円に達しました。これは前例のない規模であり、証券業界全体で深刻な問題となっています。
今回のコラムでは証券口座乗っ取り詐欺の現状とその対策をまとめました。
被害状況
金融庁が2025年5月8日に公表した最新の被害状況によると、顧客に被害が確認された証券会社は少なくとも9社で、2025年1月から4月までの4か月間に確認された不正な取引の件数は3,505件にのぼり、4月の件数は2,746件と全体の80%ほどを占め、3月までのおよそ4倍に急増しています。
また、株式などを勝手に売却された金額はおよそ1,600億円、買い付けられた金額はおよそ1,400億円と、あわせて3,000億円を超えました。
これらの被害に対しては、ネット証券各社は不正アクセスによる被害の補填のルールがなく、また過去に損失補填を行って大きな問題になった経緯もあることから、損失の補償は行わない方針を公表していました。
しかし、被害の規模が大きくなり、加藤金融担当大臣の記者会見での発言なども受け、一転して損失を補填する方針を発表しました。
方針を発表したネット証券10社は、楽天証券、SBI証券、野村證券、SMBC日興証券、マネックス証券、松井証券、大和証券、三菱UFJモルガン・スタンレー証券、三菱UFJ eスマート証券、みずほ証券で、これらの証券会社は、被害を受けた顧客に対して一定の補償を行う方針を発表しました。
インターネット取引サービスにおけるフィッシング詐欺等による証券口座への不正アクセス等による対応についての方針はこちら
手口
犯行グループは、主に以下の手口で証券口座の乗っ取りを行っています。
フィッシング詐欺:偽のメールやSMSを送り、ユーザーを偽のログインページに誘導し、IDやパスワードを入力させて盗み取ります。
マルウェア(インフォスティーラー):悪意のあるソフトウェアを用いて、ユーザーのデバイスから認証情報を盗み出します。
AiTM(Adversary-in-the-Middle)攻撃:ユーザーを偽サイトに誘導し、正規サイトへの通信を中継することで、ログイン情報やセッション情報を傍受します。
これらの手口により、不正ログインされた口座では、保有株式が勝手に売却され、その資金で流動性の低い小型株が高値で購入されます。犯人は、事前に安値で仕込んだ同じ銘柄を高値で売却し、利益を得るという手法を用いています。
予防策
被害を防ぐためには、以下の対策が有効です。
多要素認証の設定:証券会社が提供する多要素認証(ワンタイムパスワードや認証アプリなど)を必ず設定しましょう。
公式サイトへのアクセス:証券会社の公式ウェブサイトをブックマークし、メールやSMSに記載されたリンクからはアクセスしないようにしましょう。
パスワードの管理:強固なパスワードを設定し、定期的に変更することが重要です。
不審な取引の確認:身に覚えのない取引報告書や通知が届いた場合は、速やかに証券会社に連絡してください。
証券口座乗っ取り詐欺で明確になったのは、IDとパスワードだけの認証では簡単に破られるということです。
やはり多要素認証が必須ということです。
・スマホの認証アプリ(Google Authenticatorまたはその互換ソフト)
・ワンタイムパスワード(メールやSMSで送信)
・パスキー(自動生成された長い文字列=パスキーをスマホやアプリで管理して認証に使用)
結論:秘密情報へのアクセスには多要素認証を!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
