証券口座を狙うサイバー攻撃——巧妙化する手口と防衛策

「攻撃者はまず流動性の低い銘柄、特に中国株などを事前に安値で仕込んでおく。そして、乗っ取った複数の口座を使ってその銘柄を一斉に大量購入することで、株価を吊り上げる。この“提灯”行為によって価格が高騰したタイミングで、攻撃者自身の口座から売却を行い、利益を得るという仕組みです。つまり、乗っ取られた口座は『相場を盛り上げるための道具』として利用されているのです。被害者の口座は、知らぬ間に相場操縦の片棒を担がされ、場合によっては損失を被ることもあります」（成田氏）

このような手口は、金融商品取引法に抵触する可能性があり、証券取引等監視委員会も注視している。だが、攻撃者が海外からアクセスしている場合、摘発は容易ではない。警察庁や金融庁は国際連携を強化し、犯罪集団の特定と被害防止に取り組んでいる。

個人ユーザーが直面するリスクと落とし穴

証券口座の乗っ取りは、単なる技術的な問題ではない。個人ユーザーの行動や意識が、被害の有無を左右する重要な要素となる。特にフィッシング詐欺に関しては、「見破ろうとする」こと自体が落とし穴になるケースがある。

かつては、メールの文面に不自然な日本語が含まれていたり、URLが本物と異なっていたりすることで、偽サイトを見分けることができた。しかし現在では、偽サイトの精度が非常に高く、見た目だけでは判別が困難になっている。証券会社のロゴや配色、文面のトーンまで本物そっくりに再現されており、ユーザーが「違和感を探す」こと自体が非現実的になっている。

そのため、最も有効な対策は「見破る」のではなく「踏まない」ことだ。つまり、メールやSMSに記載されたリンクをクリックせず、必ず公式アプリや事前に登録したブックマークからアクセスするという行動習慣を徹底することである。

多要素認証と通知設定——個人が取るべき防衛策

こうした攻撃に対抗するため、個人ユーザーが取るべき防衛策は複数ある。まず第一に、多要素認証(MFA)の導入が挙げられる。これは、ID・パスワードに加えて、指紋認証やワンタイムパスワード(OTP)など、複数の認証手段を組み合わせることで、認証情報が漏洩してもログインを防ぐ仕組みだ。

日本証券業協会は、会員58社に対してMFAの原則必須化を進めており、今後はより多くの証券会社がこの仕組みを標準化していくとみられる。ただし、現時点ではユーザーが任意で設定する形式の会社も多く、セキュリティ水準が低いままの口座も少なくない。

さらに一歩進んだ対策として、パスワードそのものを不要にする「パスキー」という新しい認証技術も普及し始めている。パスキーは、生体認証や端末固有の暗号鍵を用いることで、フィッシング攻撃に強く、パスワードの使い回しや漏洩のリスクを根本から排除できる。対応サービスでは、MFAよりもさらに高い安全性が期待できる次世代の認証手段と言える。

次に重要なのが、取引通知の設定である。証券会社の多くは、売買やログインが行われた際に、メールやアプリ通知でユーザーに知らせる機能を提供している。これを有効にしておくことで、身に覚えのない取引に即座に気づき、被害の拡大を防ぐことができる。

さらに、端末管理も欠かせない。ClickFixで用いられる不審なWebサイトやメールから取得したコマンドのコピー&ペーストを避け、セキュリティソフトを導入する。ブラウザにパスワードを保存しない設定にすることで、インフォスティーラーによる漏洩リスクを減らすことができる。

補償制度の現状と課題

証券口座の乗っ取りによって発生した損失に対して、どのような補償がなされるのか。この点は、被害者にとって極めて切実な問題である。

現状では、証券会社ごとに補償方針が異なっており、満額補償を行う企業もあれば、一定割合のみの補償にとどまる企業もある。補償の可否や金額は、被害の発生経緯やユーザー側の過失の有無など、個別の事情によって判断される。

たとえば、ユーザーがフィッシングサイトに自ら情報を入力していた場合、「重大な過失」と見なされ、補償の対象外となる可能性もある。一方で、インフォスティーラーによる情報漏洩のように、ユーザーが被害に気づきにくいケースでは、補償の判断がより複雑になる。

このような補償制度の不透明さは、被害者にとって二重の苦しみとなりうる。制度の明確化と、迅速かつ誠実な対応が求められている。

国際連携と犯罪インフラの解体

証券口座乗っ取りの背後には、国際的なサイバー犯罪集団の存在があるとされる。彼らは、フィッシングサイトの構築、マルウェアの配布、レジデンシャルプロキシの販売などを分業体制で行っており、まるで一つの“産業”のように機能している。

このような犯罪インフラを解体するには、国内の法制度だけでは限界がある。警察庁や証券取引等監視委員会は、海外の捜査機関やセキュリティ企業と連携し、情報収集と摘発に取り組んでいるが、摘発の難易度は依然として高い。

特に、IoT機器を踏み台にした“なりすまし”攻撃では、通信の発信元が日本国内に見えるため、追跡が困難になる。こうした技術的な障壁を乗り越えるには、国際的な情報共有と、民間企業との協働が不可欠である。

安心して投資できる環境づくりへ

NISA制度の拡充により、投資はもはや一部の富裕層だけのものではなくなった。家計の資産形成手段として、証券口座は広く一般に普及しつつある。だからこそ、誰もが安心して取引できる環境を整えることは、金融行政にとって喫緊の課題である。

そのためには、制度の整備だけでなく、ユーザー教育やリテラシー向上、そして何よりも「被害に遭ったときに守られる」という信頼の構築が不可欠だ。サイバー攻撃は防ぎきれないこともある。だが、被害を最小限に抑え、迅速に回復できる仕組みがあれば、人々は再び安心して投資に向き合うことができる。

証券口座を狙うサイバー攻撃は、単なる技術的な問題ではない。それは、制度の隙間を突き、個人の油断を狙い、社会の信頼を揺るがす“構造的な脅威”である。

だが同時に、私たちにはそれに立ち向かう手段もある。多要素認証やパスキーの導入、公式アプリからのアクセス、通知設定、信頼できるIoT機器の選定——これら一つひとつの行動が、サイバー攻撃の連鎖を断ち切る鍵となる。

「IoT機器のセキュリティに関心を持ってチェックしている人は、まだ少ないのではないかと思います。こうした分野の重要性は急速に高まっていると感じます。たとえばセットトップボックスに関して言えば、中国のメーカーが製造している製品も多く見られます。中には、あまり知られていないメーカーの製品を『安いから』という理由で使っている人もいますが、そうした製品にはセキュリティ上の脆弱性があるケースも少なくありません。できるだけ信頼性のあるメーカーの製品を選ぶ方が安心だと思います。また、IoT機器のセキュリティ対策については、経済産業省を中心に取り組みが進められており、現在『JC-STAR』というラベリング制度が始まっています。この制度では、セキュリティ対策が施されたIoT機器に『JC-STAR ラベル』が貼付されるようになっており、消費者が製品を選ぶ際の判断材料として活用できるようになっています。このラベルが貼られている製品は、一定のセキュリティ基準を満たしていることを示しているため、今後はこうしたラベルの有無が製品選びの基準のひとつになるのではないかと思います」（成田氏）

制度と個人、企業と行政が連携し、透明性と信頼性を軸にしたセキュリティ文化を築くこと。それこそが、デジタル時代の資産を守るための最も確かな道である。