フィッシング詐欺やマルウェア感染による認証情報の窃取により、証券口座が標的になるケースが急増中だ。このような不正アクセスは、資産の抜き取りだけにとどまらず、犯人が被害者の口座を悪用して特定銘柄の価格操作を図る、NISA口座から資金を移動させるといった、金融市場全体の信頼性を損ねる重大リスクを孕む。金融庁は「不審な取引のリアルタイム検知と即時遮断」「補償ルールの明確化」「業界横断ガイドラインの制定」を強く求めており、監督・指導の枠組みは今後さらに強化される見通しだ。※本連載は、THE GOLD ONLINE編集部ニュース取材班が担当する。
2025年上半期、被害総額5,710億円
金融庁は7月7日、2025年上半期(1月〜6月)にインターネット経由で証券口座が不正に乗っ取られた件数が7,139件、被害総額が5,710億円に達したと発表した。不正アクセスを足がかりにした悪質なサイバー攻撃は、単なる個人被害にとどまらず、相場操縦を目的とするケースも目立っており、市場全体の健全性を脅かしかねない。
サイバーセキュリティに詳しい蔦大輔弁護士(森・濱田松本法律事務所)は、証券口座への不正アクセスが増えている要因について、「フィッシング詐欺の可能性が高い」と指摘する。
「本物と全く同じ見た目の偽のログイン画面に誘導され、IDやパスワードを入力してしまうことで情報が盗まれます。IDとパスワードだけでの防御には限界があります」(蔦氏)
金融庁の説明によれば、6月単月の不正取引件数は783件、被害額は381億円と、前月(5月)の2,329件、2,105億円からは大幅に減少した。短期間での対策強化が一定の成果を上げた格好だ。被害報告のあった証券会社も7社にとどまり、各社の対応が効果を上げているとみられる。
「重要なインフラを所管する省庁はいくつかありますが、そのなかでも金融庁はサイバーセキュリティに力を入れている機関の一つだと思います。昨年は『金融分野のサイバーセキュリティガイドライン』を策定し、企業に具体的な指針を示しました」(蔦氏)
とくに金融インフラの一角を担う証券業界では、今回の事案を受けて監督・指導が一段と厳しくなる可能性が高い。
とはいえ、サイバー攻撃の手口は日々巧妙化しており、IDやパスワードの窃取を狙ったフィッシングメール、マルウェア感染を通じた情報漏洩などで、1〜6月の不正アクセス件数は1万2,758件にのぼった。
「当局の動きも速く、7月15日には、今般の事案を踏まえた金融庁の監督指針の改正案と、日本証券業協会のガイドラインの改正案のパブリックコメントが始まっています」(蔦氏)
情報を書き換えられ「アクセスも回復もできない」
実際に口座が乗っ取られると、犯人は短時間で複数銘柄を売買し、価格操作による利益を狙う。最近ではNISA口座の悪用も報告され、資産形成支援の枠組みすら標的となっている。
「証券口座や銀行口座を乗っ取られると、単に資産を奪われるだけではすみません。本人確認に使われるメールアドレスや携帯電話(SMS)番号まで変更され、被害者が自分の口座にアクセスできなくなる事態も起こり得ます。つまり“完全に乗っ取られる”のです」(蔦氏)
こうしたケースでは、犯人が出金や売買に加えて登録情報も書き換えるため、被害の痕跡が消されてしまう。結果として、「アクセスも回復もできない」という深刻な事態に陥る可能性がある。
しかも、被害は証券口座にとどまらない。
「メールアドレスのアカウントを乗っ取られてしまうと、そのアドレスを使って登録している他のサービスについても不正アクセスされてしまう危険があります」(蔦氏)
クラウドサービスやオンラインバンキング、クレジットカード情報が登録されたECサイトなど、あらゆる場面で被害が拡大するリスクがある。また、銀行や金融機関を装った電話詐欺も増加しており、「ID・パスワードに加えて、ワンタイムパスワードをリアルタイムで入力させられて不正送金されるケースも出ています」と警鐘を鳴らす。
不審な取引を即時検知・遮断する仕組みが不可欠との声も
業界側の対応も加速している。6月からの対策強化を受け、多くの証券会社が「多要素認証(MFA)」の導入・義務化を進めており、楽天証券など78社がすでに導入を完了。不正ログインのハードルは確実に上がっている。
「多要素認証では、ID・パスワードに加え、認証アプリ等を使ってアカウントを保護できます。ただし、利便性やスピードを重視するユーザーにとっては“わずらわしさ”があるのも事実で、利便性とのバランスが課題です」(蔦氏)
業界関係者の間では、MFAは入口の防御策にすぎず、不審な取引を即時検知・遮断する仕組みが不可欠との声も強い。特定銘柄に集中する異常な売買などをAIでリアルタイムに分析する技術の導入が進んでいるが、現時点では全社的な標準には至っていない。
補償ルールの明確化も急務
被害が発覚した際の補償についても、証券会社ごとに対応が分かれている。野村証券など一部の大手は「顧客に過失がなければ原則全額補償」を明記しているが、補償内容や判断基準にはばらつきがあり、利用者にとって不透明感は否めない。
業界団体や金融庁による統一ガイドラインの整備も視野に入れた議論が必要だ。サイバー攻撃はシステム面の問題にとどまらず、企業の信用を左右する経営課題である。経営層はこれを単なるコストではなく、企業価値維持のための投資として捉え、情報セキュリティ対策に本腰を入れる必要がある。
企業が今すぐできる3つの対策
蔦弁護士は、企業が即座に取り組める対策として以下の3点を挙げる。
●多要素認証の導入(難しい場合は次善策としてログイン通知機能)
●VPN機器やシステムの定期アップデート(脆弱性の放置が最大のリスク)
「とくに中小企業では、導入したVPN機器のアップデートを怠って攻撃を受けるケースがいまだに少なくありません。また、パスワードを“password”に設定しているなど、安易なものは瞬時に破られます」(蔦氏)
金融機関に限らず、あらゆる事業者にとっても対岸の火事ではない。デジタル化が進む一方で、セキュリティの隙を突かれるリスクは日々高まっている。企業には、顧客の資産を預かる責任と、自社の信用を守る覚悟が問われているといえる。サイバー攻撃に「絶対の安全」はないため、企業は「攻撃されることを前提に、いかに備えるか」という発想へ意識を転換することが必要だ。
THE GOLD ONLINE編集部ニュース取材班
コメント