はじめに
長年築いてきた株を勝手に売買される証券口座の乗っ取り事件。この問題は、金融機関や警察の対応だけで解決できるものではなく、投資家自身が行動を起こす必要があります。
あなたの資産を守るため、今回は犯行手口と防衛策、損害を受けた場合の補償について解説します。
犯行手口、証券会社を装った偽サイトで被害口座へアクセス
2025年1月から7月までのわずか7か月間で、国内証券会社のオンライン口座における不正取引件数は8,111件。被害総額は6,205億円に達し、延べ14,069件もの不正アクセスがあったと2025年8月7日、金融庁 から発表されました。
犯人は まず、メールやSMSで偽の案内を送り、偽サイト(フィッシングサイト)へ誘導します。そこにログイン情報を入力すると、IDやパスワードがそのまま盗まれます。証券会社や銀行の正規サイトでは通常、ログイン時にワンタイムパスワードや認証コードなど追加のセキュリティ確認がありますが、フィッシングサイト側も、あたかも正規の画面のように「認証コードを入力してください」と促します。
利用者がそこで入力したワンタイムパスワードや認証コードもリアルタイムで犯人に渡り、犯人はその情報を使って正規のサイトのセキュリティを突破し、不正ログインを成功させるのです。
そして、多くの場合、不正アクセスによって被害口座を勝手に操作し、口座内の株式等を売却。その売却代金で国内外の小型株等を買い付けます。不正取引の結果、被害口座には自分が売買したことがない国内外の小型株等が残ります。犯人は 低価格で売買の少ない株を大量購入し、相場操縦により株価をつり上げ、あらかじめ保有していた株を売却し、利益を得ようとしているとみられています。
そのため、証券各社は多要素認証(ID+パスワード+認証アプリ/生体認証など)の対策を6月以降必須化し始めたため、被害件数がやや減少し始めました。しかし、既存ユーザーの中には、簡易なログイン設定のまま放置しているケース、不正取引通知やログイン通知をオフにしたままの口座も少なくありません。こうした「設定のすき間」を攻撃者は狙います。
さらに不正アクセスの多くが、海外サーバー経由で行われているといわれています。この場合、司法協力や通信記録の開示には国際的な壁があり、追跡や犯人特定が極めて困難です。たとえ被害件数が一時的に減っても、狙われるリスクは依然として高い状態です。