証券口座乗っ取り急増：フィッシング起点の不正取引と「パスキー移行」最新動向

証券口座を狙う「不正アクセス／不正取引」が急増。パスキー移行が現実的な対策になってきた

最近、証券会社を装ったフィッシング（偽メール・偽SMS・偽サイトなど）を入口に、インターネット取引サービスでの不正アクセス／不正取引が増えています。金融庁も注意喚起を継続しており、被害状況の集計（暫定値）も公表されています（金融庁：注意喚起ページ／被害状況（PDF））。

• 売買が数千億円規模として集計されている：公表資料では、被害の月次推移や累計が示されています。なお、資料にある「売却金額／買付金額」は口座内で行われた不正売買の合計であり、顧客の損失額そのものと一致しない点に注意が必要です。
• パスワード中心の認証が狙われやすい：漏えいしたID・パスワードの使い回し（いわゆるリスト型攻撃）や、フィッシングによる窃取が被害拡大の入口になりやすく、「フィッシングに強い多要素認証」への移行が急務です。
• 防ぐだけでなく早く戻す設計が重要：攻撃を100%防ぐのは現実的に難しいため、検知→遮断→復旧→説明まで含めた回復力（レジリエンス）を前提にした対策が求められています。

典型的な被害の流れ

金融庁の説明では、多くのケースで不正行為者が口座を乗っ取り、保有株式等を売却し、その資金で国内外の小型株等を買い付ける流れが示されています。結果として、被害口座には小型株等が残る（または不審な銘柄が増える）形になり得ます（金融庁：注意喚起ページ）。

なぜ被害が広がるのか

• フィッシング（偽サイト）：実在の証券会社を装う偽サイトへ誘導し、ID・パスワード等を入力させて窃取します。
• パスワードの使い回し：他サービスから漏えいしたID／パスワードが使い回されると、同じ組み合わせで不正ログインされやすくなります。
• 「リンクを踏ませる」導線：メール／SMS／広告等で「確認」「更新」「ログインが必要」と不安を煽り、正規サイトだと思い込ませます。
• 認証方式の差：二段階認証があっても、方式や運用次第では突破され得ます。だからこそ、フィッシング耐性のある方式（パスキー等）を優先して検討するのが重要です。

今すぐ取るべき一次対応チェックリスト

利用者（個人・従業員）が今すぐできること

• メール／SMS内のリンクからログインしない：見覚えのある送信者名でも、リンクは踏まずに公式手段でアクセスします。
• ブックマーク／公式アプリからアクセス：正しいURLをブックマークし、そこから開く運用を徹底します（警察庁：サイバー警察局便り（PDF））。
• 多要素認証と通知を有効化：ログイン、取引、出金、登録情報変更など、重要操作の認証と通知はすべてONにします。
• 違和感があれば即連絡→即変更：入力してしまった可能性がある／身に覚えのない取引がある場合は、証券会社へ連絡し、パスワード等を速やかに変更します。

企業（運営側）が今すぐ見直すこと（会員ログインを持つサービス全般）

• フィッシング耐性のあるMFAを優先：可能ならパスキー（FIDO）を第一候補に（FIDO Alliance：パスキー）。
• 不審ログインの検知と制御：異常IP／端末の急変／短時間の試行回数増加／地域の急変などで、段階的にブロック・追加認証をかけます。
• 重要操作の二重三重の防御：取引・出金・登録情報変更などは、追加認証＋通知＋一時保留（クーリング）等を組み合わせます。
• フィッシング導線の潰し込み：公式ドメインの周知、なりすまし広告の監視、フィッシングサイトの通報・テイクダウン手順を整備します。

再発防止のポイント

1) 認証を「パスワード中心」から段階的に卒業する

金融庁も、証券会社側でパスキー認証等のフィッシング耐性のある多要素認証の導入が進む旨を示し、提供開始時には速やかな利用設定を呼びかけています（金融庁：注意喚起ページ）。運営側も利用者側も、「パスワードを完璧に守る」より、パスワードに依存しない比率を上げる方が現実的です。

2) 不正取引・不正操作を起きる前提で設計する

• 段階的防御：ログインだけ強くしても、取引・出金・登録変更で抜かれると被害が出ます。重要操作ごとに防御を置きます。
• 通知→即時停止の導線：利用者が気づける通知、ワンクリック凍結、本人確認ルートをセットで用意します。
• 復旧手順のテンプレ化：調査・封じ込め・説明・再発防止までを手順書化し、初動の迷いをなくします。

3) 補償・対応方針は事前に整備しておく

証券業界では、フィッシング等による被害について、協会と10社による申し合わせ（一定の被害補償を行う方針等）が公表されています（日本証券業協会：案内ページ／公表資料（PDF））。自社サービスでも、利用規約だけでなく、顧客対応・補償判断・再発防止の説明まで含めた運用設計が、信頼維持の鍵になります。

FAQ（よくある質問）

Q. 「売買金額＝損失額」ではないの？

A. 公表資料の「売却金額／買付金額」は、被害口座内で行われた不正売買の合計です。同一口座で売買が繰り返されると累積します。そのため、顧客の損失額と一致しない点が明記されています（金融庁：注意喚起ページ）。

Q. SMS認証があれば安心？

A. ないよりは有効ですが、攻撃側はフィッシングやマルウェア等を組み合わせて突破を狙います。可能なら、パスキー等のフィッシング耐性のある方式を優先し、取引・出金など重要操作には追加の防御も重ねるのが安全です（FIDO Alliance：パスキー）。

Q. もし被害に遭ったら最初に何をする？

A. まずは証券会社の窓口へ連絡し、案内に従って口座状況の確認と、認証情報の変更・一時停止等を行ってください。アクセスはブックマーク／公式アプリからを徹底します（警察庁：サイバー警察局便り（PDF））。

参考リンク（本文に埋め込み済み）

• 金融庁：インターネット取引サービスへの不正アクセス・不正取引の注意喚起
• 金融庁：不正アクセス・不正取引の被害状況（PDF）
• 日本証券業協会：不正アクセス等への対応について
• 日本証券業協会：10社申し合わせの公表資料（PDF）
• 警察庁：証券会社をかたるフィッシングに注意（サイバー警察局便り／PDF）
• FIDO Alliance：パスキー（フィッシング耐性のあるパスワードレス認証）

まとめと次の一手

今回のポイントは、「強いパスワードを作る」ことよりも、フィッシングで奪われても成立しにくい認証に移すことです。あわせて、万一の際に検知→停止→復旧→説明までを素早く回せる“回復力”を仕組みとして持つことが重要になります。 証券口座に限らず、会員ログインを持つサービス運営者は、まずパスキー等の導入可否と、重要操作（取引・出金・登録変更）の追加防御を優先して棚卸ししておくのがおすすめです。