【1級FP監修】証券会社の口座不正アクセス・不正取引の事例と対策、各社の対応

近年、証券会社の不正ログイン・不正取引からの被害が急増しています。

多発するのは証券口座を狙った事案になり、被害件数は3,000口座を超えて、被害額も1,000億円と不正ログイン・不正取引が社会問題となっています。

投資家の皆様は、大切な資産を守るためにその手口の事例と対策、各証券会社の対応を確認して、不正ログイン・不正取引への防衛力を高めましょう。

目次

1 【結論】ログインは決まったアプリ・WEBサイトから行い、各証券会社の推奨するセキュリティを設定する。不審な取引がないかメールや取引内容を確認、不審な点があれば速やかに証券会社に報告する。

2 不正ログイン・不正取引の手口の事例と対策

2.1 ①LINEやSNSからの有名人や投資案内

2.2 ②証券会社を装ってのフィッシングメール

2.3 ③FreeWi-Fiからの傍受・なりすまし

2.4 ④共通の対策

3 各社のセキュリティ対応、防止策

3.1 SBI証券の取り組み

3.2 楽天証券の取り組み

4 各社の補償に、自分できる対策

【結論】ログインは決まったアプリ・WEBサイトから行い、各証券会社の推奨するセキュリティを設定する。不審な取引がないかメールや取引内容を確認、不審な点があれば速やかに証券会社に報告する。

不正ログイン・不正取引の手口の事例と対策

投資家が実際に利用する証券会社を装った偽ウェブサイト・偽アプリ（フィッシングサイト・アプリ）及びマルウェア（ウイルス等）で窃取した個人情報（ログインID、ログインパスワード、取引パスワード）によるインターネット取引サービスでの不正アクセス・不正取引の手口・事例を紹介します。

①LINEやSNSからの有名人や投資案内

LINE、Facebook、TikTok、InstagramのSNSやEメール、ショートメール等を通じて、実在する証券会社、有名人を装い投資セミナーや投資の案内や勧誘を通じて、個人情報（ログインID、ログインパスワード、取引パスワード）を取得する出口です。

②証券会社を装ってのフィッシングメール

Eメールや電話番号でのショートメールから、【メール件名】デバイス認証の義務化と補償制度適用条件のお知らせ、（ご注意）未読メッセージによるサービス利用制限についてなど、【概要】5/31までに手続きがない場合、補償対象外になるという内容とともに記載の【リンク】誘導、そこから個人情報（ログインID、ログインパスワード、取引パスワード）を取得する出口です。

HPサイトのレイアウトやログインiD入力のレイアウトが本物と似ている場合もあります。

③FreeWi-Fiからの傍受・なりすまし

無料で提供されているWi-Fiの中には、データ通信が暗号化されていないケースやFreeWi-Fiを正規で提供しているネットワーク名に似させた「なりすましアクセスポイント」からパソコンやスマートフォンで操作している通信内容が、悪意のある第三者によって傍受、そこから個人情報（ログインID、ログインパスワード、取引パスワード）を取得する出口です。

④共通の対策

いつも証券会社HPにログインしているアプリやブックマークお気に入りの方法以外からログインしないことが大切です。また、https://〇〇.co.jpのドメインの確認、不審なアカウントからのメールやSNSに記載のURLを開かないこと、そこからログインして個人情報（ログインID、ログインパスワード、取引パスワード）入力をしないこと。

公共の場所でのFreeWi-Fiを利用しないことも個人情報（ログインID、ログインパスワード、取引パスワード）を守ることに繋がります。

怪しいサイトに個人情報などを入力してしまった場合は速やかにログインID、ログインパスワード、取引パスワードの変更を行ってください。

費用も発生しますが、最新バージョンのウイルス対策ソフトをスマホやPCにインストールやアップデートをすることも必要な対策です。

各社のセキュリティ対応、防止策

急増する不正ログイン・不正取引の防止ため、主要ネット証券会社は推奨するセキュリティの必須課化の取り組んでいます。

SBI証券の取り組み

ログイン時の多要素認証（デバイス認証・FIDO認証）が必須化になります。デバイス認証はいつも利用するPCやスマホなどの登録端末以外からのログインを制限する多要素認証です。初めてログインする端末には、登録メールアドレスにログイン検知のお知らせと認証コードが届いてデバイス登録を行う流れになります。

自身がログインしていないのにお知らせが届きましたら注意が必要です。速やかにSBI証券に連絡を入れましょう。

FIDO認証は、自身のスマートフォンに登録された本人確認情報を利用する多要素認証です。パスワード等による認証に比べ、より安全にログインいただけます。専用アプリをインストールする必要があります。本人確認情報として生体認証または6桁パスコードで認証することができます。

証券会社からお金を引き出すいわゆる出金手続きの「出金時の二要素認証サービス」の利用設定が必須になりました。

多要素認証（デバイス認証・FIDO認証）や出金手続きには、メールアドレスの登録が必須となります。SBI証券にメールアドレスが登録されていない場合や古いメールアドレスまたはキャリアメールで受信しないメールアドレスを利用されている場合は有効なメールアドレスを登録しましょう。

楽天証券の取り組み

ログイン時の多要素認証（メールでの絵文字認証）が必須化になります。メールでの絵文字認証は通常のログイン後、登録メールアドレスに絵文字が届き、その絵文字をログインに入力する多要素認証です。

自身がログインしていないのにお知らせが届きましたら注意が必要です。速やかに楽天証券に連絡を入れましょう。

また第三者からのログインを防ぐため、不審なアクセスを自動検知し、お客様の電話番号による認証を求める機能、リンクベース認証も始まりました。

多要素認証には、メールアドレスや電話番号の登録が必須となります。楽天証券にメールアドレスが登録されていない場合や古いメールアドレス、電話番号またはキャリアメールで受信しないメールアドレスを利用されている場合は有効なメールアドレス、電話番号を登録しましょう。

各社の補償に、自分できる対策

フィッシング詐欺等により不正アクセス・不正取引の被害に遭われたお客さまへの補償について、証券会社10社による申し合わせが公表されました。

楽天証券は5月中旬以降、SBI証券は5月末をめどに、各社の約款等の定めに関わらず、補償対応の手続きを開始する方針を示しています。

申し合わせの補償対応は被害状況を十分に精査、その顧客自身のIDやパスワード等の管理を含む態様やその状況等並びに、証券会社における不正アクセス等を防止するための注意喚起等を含む対策等を勘案したうえで、個別の事情に応じるとしています。

例えば、証券会社が顧客にずさんなIDやパスワード管理の状態があると判断した事情内容によっては補償金額が減額する可能性も含まれています。

だからこそ、自分できる対策として、証券会社が推奨するセキュリティをしっかりと行い、日頃から決まった方法（アプリやブックマーク）でのログインや定期的なログイン・取引パスワードの変更、金融機関別のパスワード設定によるセキュリティの向上、ウイルス対策ソフトなどで利用する端末のセキュリティ向上が必要です。

悪意のある者が不正ログイン後にメールアドレスや電話番号を変える事案も発生しているため、登録メールアドレスや電話番号の確認・最新化も行ってください。

また、セキュリティ対応や補償対応に便乗するフィッシング詐欺メール等にも注意が必要です。

金融、投資情報も信頼できる発信源から取得するようにしましょう。

PrivateFpは数多くのファイナンシャル・プランニング、金融資産運用設計の経験から、資産運用・資産形成を支援します。

お気軽に相談ください。