近年、インターネット証券の利便性向上に伴い、多くの方がオンラインでの資産運用を行うようになりました。しかし、その利便性の裏で、「証券口座乗っ取り」という深刻なサイバー犯罪が急増しています。

金融庁によると、2025年1月から7月までで、不正取引が8,000件以上、売却金額および買付金額がそれぞれ約3,000億円という多大な被害が発生しており、これは決して他人事ではありません。大切な資産を守るため、私たち投資家一人ひとりがセキュリティ対策に真剣に取り組む必要があります。

この記事では、最近急増している証券口座乗っ取り被害の状況を分析し、被害に遭わないための具体的な対策と心得をお伝えします。対策できる部分は今すぐにでも実行していただき、大切な資産をお守りいただきたいと思います。

参考サイト
ポイント
  • 認証アプリやSMSによる多要素認証を設定する
  • パスワードは使いまわさず、複雑だが覚えやすいものを設定する
  • 口座には公式サイトからログインし、メールやSMSのリンクからはログインしない
  • OSの更新やセキュリティパッチを可能な限り早く適用する
  • 他人を意識し人が集まるところでのログインは控える
  • 定期的に口座を確認する
目次 [ close ]
  1. 最近の被害状況と攻撃手口の実態
    1. フィッシング詐欺
    2. インフォスティーラー
    3. AiTM(Adversary-in-the-Middle)攻撃
    4. ClickFix攻撃
  2. 被害に遭わないための注意点と心得
    1. 多要素認証の設定
    2. 口座の定期的な確認
    3. マルウェア感染を防ぐ心得
    4. メールやSNSでの注意点
    5. 強固なパスワード
    6. その他の重要な心得
  3. まとめ

最近の被害状況と攻撃手口の実態

2025年に入ってから、証券口座乗っ取り被害が爆発的に増加しています。下の表は金融庁が公開しているデータですが、3月頃から被害が急増していることがわかります。

大手証券会社に多くの被害が集中しており、もはや特定の会社だけの問題ではなく、業界全体の課題となっています。

不正取引の件数と被害状況
2025/12025/22025/32025/42025/52025/62025/7合計
不正取引が発生した
証券会社数(社)		165
不正アクセス件数1701142,3195,4073,3301,75997014,069
  不正取引件数95519512,9702,3758518188,111
  売却金額
(億円)		約2約0.9約168約1,556約1,117約221約243約3,307
買付金額
(億円)		約0.8約0.8約145約1,365約1,001約169約217約2,898

金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
より引用

証券口座乗っ取り攻撃が急増している背景には、以下のような要因があります。

口座乗っ取り攻撃の背景
  • 投資人口の拡大
    • NISAの拡充や投資ブームにより、オンライン証券の口座数が急増
    • 投資初心者がターゲットになりやすい環境
  • サイバー犯罪の巧妙化
    • 生成AIの普及により日本語が自然になり、日本を標的とする攻撃が急増
    • 闇サイト「ダークウェブ」に証券口座に関する認証情報が流出
    • 国際的な犯罪グループによる組織的攻撃
  • 高い収益性
    • 一度の攻撃で数百万円~数千万円の利益を得られる可能性

最近主流となっている攻撃手法は以下のとおりです。攻撃手法は多岐にわたっているので、ここに挙げた手法のみではないことはあらかじめご理解ください。

フィッシング詐欺

最も一般的な手口で、証券会社を装った偽メールを送信し、フィッシングサイトへ誘導することで認証情報を窃取します。

フィッシング攻撃の流れ
STEP1
証券会社等からの重要なお知らせを装ったメールを送信

口座凍結やセキュリティの確認など、緊急に対応が必要だと煽る内容のメールを送りつけます。メールには偽サイトへのリンクが掲載されています。

STEP2
ユーザがリンクをクリックすると偽サイトに誘導される

偽サイトでログインのための口座情報・パスワードを入力すると、その情報が搾取されます。

STEP3
窃取した情報で本物のサイトにログイン

多要素認証などのセキュリティ設定を行なっていない場合、搾取された情報のみでログインできてしまい、不正にアクセスされてしまいます。

インフォスティーラー

「インフォスティーラー」と呼ばれるコンピューターウイルスを使用した高度な攻撃です。まずは、ウィルスに感染しないように対策しておくことが重要です。

インフォスティーラーの特徴
  • パソコンに感染し、保存されたパスワードや認証情報を自動収集
  • 被害者が気づかないうちに情報が流出

AiTM(Adversary-in-the-Middle)攻撃

正規サイトと偽サイトを活用しながら、ユーザーがパソコンでアクセスする際の通信を傍受する新しい手口です。

AiTM攻撃とは、多要素認証(MFA)を突破するために、ユーザーと正規サイトの間に偽のプロキシサーバーを介在させ、ユーザーの認証情報と、認証が完了した「セッションCookie」を盗み取る高度なフィッシング攻撃です。

この攻撃は、多要素認証を設定していても、それを突破されてしまう恐れがあるものなので、まずはフィッシングメール内のURLをクリックしないことが重要です。

AiTM攻撃の流れ
STEP1
偽サイトへの誘導

フィッシング攻撃同様、メールなどでユーザーを偽のWebサイトに誘導します。

STEP2
認証情報とセッションCookieの窃取

ユーザーが偽サイトでパスワードや多要素認証コードを入力すると、攻撃者のプロキシサーバーがそれらを正規のサイトへ送信します。正規サイトは認証を承認し、認証済みのセッションCookieを発行します。

STEP3
ユーザを正規サイトへ誘導

プロキシサーバーは、発行された認証済みのセッションCookieをユーザーのデバイスに渡して正規のサイトにリダイレクトさせます。ユーザは情報を搾取されたことに気づきません。

STEP4
なりすましログイン

攻撃者は、ユーザーから盗んだセッションCookieを使って正規サイトにログインし、不正な操作を行ったりできるようになります。

ClickFix攻撃

ClickFIx攻撃は、偽のエラーメッセージ等を含むダイアログボックスを使用し、悪意のあるコマンドやプログラムを被害者自らに実行させる手法です。

パソコンに詳しい人であれば、指示された内容が不正なプログラムの実行だと理解できますが、あまり詳しくない人は指示されたとおりに入力を行い、プログラムを実行することによってマルウェアに感染してしまいます。

何かおかしいなと感じたら、指示に従って実行する前にパソコンに詳しい人に聞くなどしてマルウェアに感染しないようにしましょう。

被害に遭わないための注意点と心得

それでは被害に遭わないためにはどうすれば良いでしょうか。いくつかのポイントを解説していきます。

不正アクセスを防ぐ注意点と心得
  1. 多要素認証の設定
  2. 口座の定期的な確認
  3. マルウェア感染を防ぐ心得
  4. メールやSNSでの注意点
  5. 強固なパスワード
  6. その他の重要な心得

多要素認証の設定

多要素認証は、証券口座乗っ取りを防ぐ最も有効な手段の一つです。パスワードが流出しても、追加の認証要素があることで不正ログインを阻止できます。

IDとパスワード以外の認証を加えることで、万が一IDとパスワードが悪意のある人に知られても、そのIDとパスワードだけでは口座にログインすることができなくなります。追加の認証要素として、認証アプリを利用する方法、スマートフォン等を利用してSMSで認証する方法、メールで認証する方法などがあります。

このうち、一般にセキュリティレベルが高いのが認証アプリを利用する方法です。お持ちの口座が認証アプリによる認証をサポートしている場合は、この方法を用いるのが良いでしょう。

お持ちの証券口座や銀行口座などでは、セキュリティの推奨設定があるはずなので、その方法に従って設定を進めてください。

口座の定期的な確認

セキュリティ対策そのものではありませんが、口座を定期的に確認することが重要です。異常な出入金がないかをチェックすることで、被害を最小に抑えることができます。また、新しい認証方法が導入されたことなどをいち早く知ることができるので、より安全な認証方法に変更することで、リスクを最小にすることができます。

口座は月次等で必ずチェックするようにしましょう。

マルウェア感染を防ぐ心得

マルウェア(ウイルス等)に侵入されないように対策ソフトを導入し、常に最新の状態に更新することが有効な手段となります。

以下のような対策を行いましょう。

基本的なマルウェア対策
対策項目具体的な行動
OSの更新Windows Updateの実行、macOSの更新など
ウィルス対策ソフト定義ファイルの自動更新
ブラウザの更新お使いのブラウザ(Chrome, Edge, Safari等)の最新版の利用
プラグイン等JavaやFlashなど利用しないプラグインの削除または無効化

メールやSNSでの注意点

被害の多くがメールやSMSを起点にして発生しています。緊急性や重要性を煽るような文面のメールやSMSを受信したら、まずフィッシングメールではないかと疑ってください。

危険なメールの例

緊急!あなたの口座に不正アクセスが検出されました。 24時間以内に以下のリンクから本人確認を行ってください。

https://sbi-security-check.com/urgent

怪しいメールやSMSを受信したら
  • メールやSMS内のURLは絶対クリックしない(公式サイトには直接アクセスする)
  • メールやSMSに返信しない
  • 心配であれば証券会社や銀行等に電話で確認する

SNSでの発信も攻撃者にとっては貴重な情報源です。SNSでの発信時は、以下のような情報の投稿は控えましょう。

SNS発信の心得
  • 利用している証券会社名等の具体的な記載はしない
  • 投資金額や資産額の詳細を公開しない
  • 取引画面のスクリーンショットを公開しない
  • 口座番号や取引履歴を公開しない

強固なパスワード

証券口座や銀行口座などのパスワードは、他のサービスとは一段異なる強度を保つようにしましょう。

推奨パスワード要件
項目推奨
文字数12文字以上できるだけ長く
文字種大文字・小文字・数字・記号の組み合わせ
予測困難辞書にない単語、個人情報から類推されない

複雑なパスワードにすると覚えられないというジレンマがあります。複雑なパスワードを覚えやすくする工夫をご紹介します。

強固かつ覚えやすいパスワードの作成法
方法推奨
フレーズ+記号法フレーズの区切りに記号を加える
例: “SafeInvestment” → “Safe$Investment#”
置き換え法フレーズの一部を数字や記号に置き換える
例: “SafeInvestment” → “S@f3!nv3stm3nt” (a→@、e→3、I→!)
フレーズ+ルール法フレーズの前後に略称を追加
例: “SafeInvestment” → “NMR-SafeInvestment” (野村證券→NMR)
上の組み合わせ例: “SafeInvestment” → “NMR-S@f3$!nv3stm3nt#”

その他の重要な心得

安全な環境で口座にアクセスすることが重要です。

公衆の中で口座にアクセスすると、利用している証券会社や銀行がわかってしまうかもしれません。まずは人に見られない環境でのアクセスを心がけましょう。

さらにネットワークの環境も安全な環境を選びましょう。公衆無料WiFiは一般にセキュリティレベルが低いので、どうしてもアクセスが必要な場合は、スマートフォンのテザリングを活用するなど、安全なネットワーク環境を選ぶようにしてください。

まとめ

投資においてリスク管理が重要であるのと同様に、セキュリティ対策も投資活動の基本です。どれほど優秀な投資判断ができても、口座を乗っ取られて資産を失ってしまっては意味がありません。「自分は大丈夫」という楽観的な考えは改める必要があります。

多要素認証を設定していな方は、記事を読み終えたらすぐに設定を行なってください。また、パスワードを使い回していたら、すぐに変更しましょう。さらに、メールやSNSのリンクからではなく、公式サイトからログインする習慣を身につけましょう。

最後までお読みいただき、ありがとうございます。

執筆者プロフィール

1級ファイナンシャルプランニング技能士
CFP®️認定者
1級DCプランナー