証券口座の不正アクセスが急増　金融庁が注意喚起

金融庁は、実在する証券会社のWebサイトを装った偽のWebサイト(フィッシングサイト)や偽アプリ、ウイルスなどのマルウェアを利用した、インターネット取引サービスでの不正アクセス・不正取引の被害が急増している件について注意喚起を行なった。

不正アクセスは、フィッシングサイトなどから窃取した顧客情報(ログインIDやパスワード等)を利用し、証券会社のインターネットサービスにログイン。第三者によって売却・買付など不正取引が行なわれている。

不正取引が発生した証券会社数は、2025年2月が2社だったのに対し、2025年4月(16日時点)は6社に増加。不正アクセス件数も、2月は43件だったが、4月は1,847件と40倍以上に急増している。

不正取引の金額は、売却金額は2月が約1億円だったのに対し、4月は約374億円で、3カ月合計で約506億円に及ぶ。買付金額は2月が約0.3億円で、4月は約320億円、3カ月合計で約448億円に達している(同一口座内で不正取引が繰り返された場合は売買金額を累積)。

2025年2月～4月(16日現在)の発生状況

金融庁によると、不正取引の手口は様々だが、多くの場合、不正行為者が不正アクセスによって被害口座を勝手に操作して口座内の株式等を売却し、その売却代金で中国株等を買い付けているという。不正取引の結果、被害口座には当該中国株等が残ることになる。また、ログインID・パスワード等の窃取、不正アクセス・不正取引の被害はどの証券会社でも発生し得るものであると注意喚起した。

このような状況に乗じて、日本証券業協会や証券会社の名を騙り、フィッシング詐欺の注意喚起を案内しつつ、不審なURLをクリックさせることを目的としたメールが多く送信されていることも判明している。

日本証券業協会では、こうした被害を防止するために、証券会社のインターネットサービスを利用する際は、多要素認証(ワンタイムパスワード、2要素以上を組み合わせる認証)が提供されている場合は必ず設定するよう呼びかけている。

また、証券会社のWebサイトにアクセスする際は、あらかじめ公式のWebサイトをブックマークし、メールやSMSなどに表示されているリンクを開かないことが重要としている。このほか以下の注意点を紹介している。

パスワードの使いまわしを控える

ログインパスワードや取引パスワードなどに、同じパスワードを設定しない。また、オンライン証券やインターネットバンキングなど、金融機関の口座を複数持っている場合は、それぞれの口座で同じパスワードを設定しないようにする。

安全性の高いパスワードを設定する

可能な限り、数字・英大小文字、記号を組み合わせ、各社の仕様に応じた適切な長さに設定する。個人情報(名前、生年月日、電話番号)や同一文字の繰り返しなど、推測されやすい文字列の設定を控える(「11111」「aaaaa」「12345」「abcde」「password」など)

パスワードなどの管理を徹底する

パスワード等を書いたメモを他人に見える場所に置かないようにする。PCやスマートフォンのメモ帳などのファイルやクラウド上に、暗号化せずにパスワード等を保存することは控え、パスワード管理ソフト等を利用した上で保存・管理を行なう。

ログイン、出金の通知など各社が提供するセキュリティ機能を利用する

ログイン、出金などの通知機能がある場合、これらを利用するとログイン、出金などを実行したことの情報がメールで知らせされる。この機能により、不正なログインや出金などに、いち早く気づくことが可能となる。

「ワンタイムパスワードサービス」がある場合は、ログインや出金などの際に、専用アプリ等で発行される一定時間のみ有効な「ワンタイムパスワード」の入力が求められるため、万が一自身が管理するパスワードが不正に入手されたとしても、もう一段階のセキュリティ対策により、被害を未然に防止できるとする。

セキュリティソフトは常に最新版を

機能向上のため、セキュリティソフトは常に最新版に更新する。OSやブラウザ(Microsoft Edge、Google Chrome等)には適宜、最新の修正プログラムを適用する。

他人が利用できる端末でログインや取引はしない

インターネットカフェやホテル等に設置されている端末など、他人が使用することのある端末でのログインや取引は控える。公共の場で利用できる無料Wi-Fiの中には、セキュリティ設定が甘く、通信内容を盗み見られる可能性が高いものもあるため注意する。

不審な問い合わせや通知に注意する

心当たりのない内容の電子メールや電話等には対応しない。身に覚えのない取引や出金があった場合は、速やかに取り扱いの証券会社や警察に相談する。