2024年末から2025年にかけて、インターネット証券の口座が不正に乗っ取られ、勝手に株取引が行われる事件が相次いでいる。著名な個人投資家のテスタ氏もX(旧Twitter)で被害にあった旨を投稿している

また、金融庁の調べによると、不正取引が発生した証券会社は9社で、不正アクセス件数は6380件、不正取引件数は3505件(5月8日時点)。被害額(不正売却金額)は1600億円を超えるとされる。楽天証券、大和証券、野村証券、SBI證券など、国内の主要な証券会社で被害が確認されている。

ここで発生している一連の被害では、単に不正アクセスによって保有する株式が売られただけではなく、不自然な相場操縦による不正取引によって犯行グループは多額の資金を手にしていると考えられている。今、オンライン証券口座を巡って何が起こっているのか、そして、なぜこれほどまでに被害が拡大したのか。

その答えを、『体系的に学ぶ 安全なWebアプリケーションの作り方』(SBクリエイティブ)通称「徳丸本」の著者である、サイリーグホールディングス エグゼクティブ・フェローの徳丸浩氏の講演の中から探ってみたい。

  • サイリーグホールディングス エグゼクティブ・フェロー 徳丸浩氏

    サイリーグホールディングス エグゼクティブ・フェロー 徳丸浩氏

オンライン証券事件、何が起きているのか

オンライン証券事件の手口は次の通りだ。まず、犯行グループは香港など海外の取引量の少ない株式(便宜上、これを株式Xとする)をあらかじめ安値で購入しておく。次に、被害者になりすまして証券口座にアクセスし、被害者が所有する株式を売却。そこで得た資金を使って、あらかじめ仕込んでおいた株式Xを高値で買い注文を出す。

これに対し、犯行グループは所有していた株式Xを高値で売却することで、差額をもうけとして得るというのが、一連の手口だ。

  • オンライン証券事件の手口を図示したもの

    オンライン証券事件の手口を図示したもの

徳丸氏によると、これまでオンライン証券の不正アクセス件数は少なかったという。証券口座から出金する際の銀行口座は、登録氏名と同姓同名の場合のみ許可する仕組みだったため、これが一種の出口対策として機能していた。

つまり、犯行グループが正規のユーザーになりすましてログインをしても、証券会社の名義と出金先の銀行口座の名義が異なる場合には、出金ができなかった。

しかし2020年に、SBI証券で9864万円の被害が出る事件が発生。SBI証券口座から銀行口座への出金はSBI証券と同姓同名の口座に限定されていたのだが、犯人はなりすましログインで得た個人情報を用いて偽造した本人確認書類を作成し、これを使って同名義の預金口座を開設し出金先の口座として登録した。

この事件の後にSBI証券は、モニタリングの強化やWAF(Web Application Firewall)の導入、強制ではないものの二要素認証機能の追加など、新たな対策の導入を発表した。また、出金先口座登録時の本人確認を強化し、Web上での出金口座変更を停止して書面のみの対応としている。

オンラインバンキングに比べてオンライン証券は不正アクセス被害の歴史が浅く、日本においては対応が後手に回っているのが現状だと、徳丸氏は指摘していた。

  • SBI証券で発生した事件の概要図

    SBI証券で発生した事件の概要図

不正ログインのアカウント情報が漏えいした経路とは?

現在のところ、不正ログインのアカウント情報が漏えいした経路ははっきりとは分かっていないそうだ。ただし、フィッシングによるものである可能性が高いというのが、徳丸氏の見立てだ。

フィッシング詐欺とは、攻撃者が送信者を偽ってメールやSMSを送り、偽のWebサイトに誘導して個人情報を盗み取る詐欺。インターネット通販の利用増加などを背景に、通販サイトや運送業者からのメール案内などを悪用する手口が広がっている。

オンライン証券ではないが、auじぶん銀行で2020年に発生した不正アクセスの事件では逮捕者が出ている。この事件でもフィッシングの手口が使われたとされ、EメールやSMS(ショートメッセージ)に記載のURLからauじぶん銀行を模した偽サイトへ誘導し、ログイン情報を入手した。

auじぶん銀行の専用アプリをインストールする際にまずは口座をひも付ける必要があるのだが、この手順が狙われたとされる。

  • 徳丸氏に届いたメールの実例

    徳丸氏に届いたメールの実例

金融庁はログインIDやパスワードなどの窃取、不正アクセスおよび不正取引の被害に遭わないために、以下のように注意を促している。

  1. 見覚えのある送信者からのメールやSMS(ショートメッセージ)等であっても、メッセージに掲載されたリンクを開かない。
  2. 利用する証券会社のWebサイトへのアクセスは、事前に正しいWebサイトのURLをブックマーク登録しておき、ブックマークからアクセスする。
  3. インターネット取引サービスを利用する際は、各証券会社が提供しているセキュリティ強化機能(ログイン時・取引実行時・出金時の多要素認証や通知サービス)を有効にして、不審な取引に注意する。
  4. パスワードの使いまわしをしない。推測が容易な単純なパスワードを用いない。数字・英大小文字・記号を組み合わせた推測が難しいパスワードにする。
  5. こまめに口座の状況を確認するとともに、不審なWebサイトに情報を入力したおそれや不審な取引の心配がある場合には、各証券会社の問い合わせ窓口に連絡するとともに、速やかにパスワード等を変更する。

これらの案内に加えて、徳丸氏はフィッシングの手口に強いとされるパスキーを紹介した。パスキーは従来のパスワード認証に代わる手段として開発され、指紋認証や顔認証といった生体認証、またはPINやパターン認証を使ってログインする。2022年中旬の発表後に、急速に導入が進んでいるという。

FIDOアライアンスの他、Googlet、Apple、Microsoftなどが支持している。GoogleはChromeブラウザやAndroidで対応を開始しており、AppleはOSレベルでパスキーに対応。認証カギはiCloudキーチェーンに保存される。

「二要素認証がフィッシング詐欺に弱いことは20年前から知られており、『二要素認証が突破される』と言っているYouTuberもいる。早期にフィッシング耐性のあるパスキーを導入することを提言する」(徳丸氏)

  • 認証強化方式の比較

    認証強化方式の比較