要約
2025年初頭、日本国内の主要証券会社で証券口座の不正アクセス被害が相次ぎ、確認された不正取引は約1,400件、被害総額は900億円を超えました。被害は野村証券、楽天証券、SBI証券、SMBC日興証券、マネックス証券など少なくとも8社に及び、株価操縦や大口売買の疑いも浮上しました。日本証券業協会は2025年5月2日、証券10社が被害顧客に一定の補償を行う方針を発表し、同年4月末までに58社がログイン時の多要素認証(MFA)必須化を決定しています。今後は、ユーザー教育の強化、補償制度の明確化、技術的・法的対策のさらなる充実が喫緊の課題となります。
1. 概要と背景
2025年2月以降、野村証券、楽天証券、SBI証券、SMBC日興証券、マネックス証券、松井証券、大和証券、三菱UFJ eスマート証券など、大手からネット証券まで少なくとも8社で口座乗っ取り被害が発生しました。被害総額は約900億円に上り、不正売却・買付件数は約1,400件と報告されています。これら不正アクセスは株価操作や資金洗浄の温床となり、証券取引等監視委員会が捜査を開始しました。
金融庁は2025年4月18日、被害拡大を受けて注意喚起を発出し、日本証券業協会も同日に会員各社に対しMFA導入の強化を要請しています。
2. 事案のタイムライン
| 時期 | 事象 |
|---|---|
| 2025年2月上旬 | 最初の被害報告。数千万円規模の不正売却が確認され始める。 |
| 3月中旬 | 被害件数が数百件に達し、複数社で同様の報告が相次ぐ。 |
| 4月10日 | 金融庁が主要証券会社に対し注意喚起文書を送付。 |
| 4月18日 | 金融庁が公式に注意喚起を発出。日本証券業協会も会員向けにMFA設定強化を要請。 |
| 4月23日 | 日本証券業協会発表:58社がMFA設定の必須化を決定。 |
| 5月2日 | 日本証券業協会・証券10社が被害顧客への補償方針を発表。 |
| 5月以降 | 監視委員会と金融庁が捜査・監査を強化。被害顧客への補償実務とMFA導入状況が進展。 |
3. 攻撃手口の詳細
3.1 フィッシング詐欺
攻撃者は証券会社を装った偽メールやSMSを大量送信し、ユーザーを偽ログインページに誘導。ドメインは正規に酷似させ、ユーザーがID・パスワードを入力すると情報が即座に窃取されました。
3.2 マルウェア(インフォスティーラー)
誘導先ページにはインフォスティーラー系マルウェアが仕込まれ、ユーザーのキーストローク情報やブラウザ保存パスワードを外部サーバに送信。これにより、攻撃者は取得した認証情報で証券口座に不正ログインし、自動化ツールで高速に取引を実行しました。
3.3 API悪用・相場操作
一部では証券会社の公開APIやスクレイピングで取得した株価データをもとに、相場変動を予測し大量注文を発注。これが相場操縦と見なされ、証券取引等監視委員会が監視対象としました。
4. 被害状況の詳細
4.1 金額・件数の内訳
-
不正取引件数:約1,400件
-
被害総額:900億円超
-
不正売却額:約374億円(2025年4月16日時点)
-
不正買付額:約320億円(2025年4月16日時点)
4.2 被害証券会社一覧
| 証券会社名 | 被害状況概要 |
|---|---|
| 野村証券 | 数十件の不正売買、被害額50億円超 |
| SBI証券 | ネット口座20件超被害、被害額約80億円 |
| 楽天証券 | フィッシング経路経由で100件以上の不正ログイン |
| SMBC日興証券 | API不正利用による大量注文(社内調査中) |
| マネックス証券 | 不正マルウェア感染事例10件、被害額10億円超 |
| 松井証券、大和証券ほか | 個別調査中 |
5. 証券会社と当局の対応
5.1 多要素認証(MFA)の必須化
日本証券業協会は2025年4月25日までに58社がMFA必須化を決定したと発表しました。MFAとは「知識情報」「所持情報」「生体情報」のうち2要素以上を組み合わせる認証方式で、OTPや生体認証の導入が主流です。
5.2 被害者への補償方針
5月2日、日本証券業協会と証券10社は「各社約款にかかわらず一定の補償を行う」方針で合意。顧客のID・パスワード管理状況、MFA設定有無、社内注意喚起履歴等を考慮し、個別判断で対応します。
5.3 監視・捜査体制の強化
証券取引等監視委員会は捜査チームを設置し、相場操縦疑惑を含む取引ログ解析を進めるとともに、金融庁は全証券会社への監査を強化。社内セキュリティ人員の増強やクラウドログ監視システム導入が進んでいます。
6. 被害者の声と事例
-
個人投資家A氏:「数千万円が一瞬で消え、証券会社の対応も遅かった」
-
中小企業オーナーB氏:「税金申告前に不正売却され、損失計上が間に合わなかった」
-
高齢者C氏:「スマホ操作に不慣れでフィッシングと気づかず、数百万円を失った」
多くの被害者が、証券会社のサポート窓口への連絡遅延や情報不足を指摘しており、迅速な被害対応窓口の設置が求められています。
7. 技術的対策とその課題
| 対策 | メリット | 課題 |
|---|---|---|
| 多要素認証(MFA) | 不正ログイン防止効果大 | フィッシングでOTPも抜き取られる可能性 利用者負担増 |
| 生体認証(指紋・顔認証) | 高いセキュリティレベル | 専用端末・対応アプリ必須 ハード依存 |
| 不審ログイン検知AI | リアルタイム検知による即時対応可能 | 学習データ不足時の誤検知・見逃しリスク |
| ブラウザ拡張機能 | 正規サイトのみ自動補完・警告表示 | ユーザーへの導入啓発が必須 |
| 定期的なセキュリティ監査 | 脆弱性の早期発見・是正 | コスト高、実施頻度の確保が課題 |
8. 今後の展望と提言
-
ユーザー教育の継続強化
-
フィッシング詐欺やマルウェア手口の周知は継続的に行い、ウェビナーや演習ツールを活用すべきです。
-
-
補償制度のガイドライン整備
-
被害者が迅速・公平に補償を受けられるよう、業界横断のガイドラインを日本証券業協会が策定すべきです。
-
-
法整備と国際協力
-
サイバー犯罪対策の法的枠組みを見直し、国際捜査協力を強化。被害報告義務の明確化や罰則強化を検討します。
-
-
技術革新の促進
-
AIによる不審検知やブロックチェーン技術を活用した取引履歴改ざん防止など、先端技術を積極的に導入検討すべきです。
-
9. まとめ
2025年の証券口座乗っ取り事件は、金融業界全体のセキュリティ強化を迫る重大事案でした。証券会社・当局はMFA導入や補償方針の策定に動きましたが、依然として課題は多く残ります。投資家自身も公式サイトのブックマーク、多要素認証設定、メールの正当性確認を徹底し、サイバーリスクへの意識を高める必要があります。業界とユーザーが連携し、再発防止と信頼回復を図ることが急務です。
コメント
コメントを投稿