現状と問題点
証券会社の不正アクセス被害が急増しています。この問題について理解し、必要な対策を講じることが重要です。
被害状況の推移
| 日付 | 出来事 |
|---|---|
| 2025年3月21日 | 楽天証券で不正取引が発覚 |
| 2025年3月22-23日 | 楽天証券がリスクベース認証を導入、規約を更新 |
| 2025年4月15日 | 金融庁が意見交換会で被害解決を依頼 |
| 2025年4月18日 | 金融庁が不正取引の最新状況を発表(6社で被害確認) |
| 2025年4月21日 | SBI証券が規約を更新(不正アクセスも顧客責任と明確化) |
| 2025年5月2日 | SBI証券のバックアップサイト終了(セキュリティリスクのため前倒し) |
セキュリティの主な問題点
- SBI証券の問題:
- バックアップサイトが2要素認証に対応していなかった
- 5月2日まで運用されていた(本来5月末まで予定)
- 楽天証券の問題:
- アプリ関連のセキュリティ対策が遅れていた
- 特にマーケットスピード2などのアプリに脆弱性
- 規約の問題:
- 不正アクセス発生中に規約を更新し、「お客様自身が入力したか否かに関わらず」として顧客責任を明確化
- 当初は保証を行わない姿勢だったが、金融庁の介入により「一定の被害保障」へ方針転換
不正アクセスの手法
1. リアルタイムフィッシング
- SMSやメールで偽サイトに誘導
- 入力された情報を攻撃者がリアルタイムで受け取り、即座に本物のサイトにログイン
- 2要素認証も突破される
2. AITM(Adversary in the Middle)攻撃
- 中間者攻撃の一種
- フィッシングサイトが自動的に情報を中継
- ユーザーは本物のサイトと通信していると錯覚
3. インフォスティーラー(情報窃取マルウェア)
- 正規ソフトのインストーラーを偽装
- PC管理者権限を奪取し情報収集
- ウイルス対策ソフトの検出を回避
対策方法
証券会社が推奨する対策
楽天証券
- ログインの追加認証・多要素認証の設定
- ログインパスワードの変更(他社と異なるものに)
- 取引暗証番号の変更(アルファベット・記号も使用)
- 出金時のSMS認証の設定
- 不正出金のロック設定
- 証券口座の一時的利用停止(電話で可能)
SBI証券
- メールアドレス登録とデバイス認証の設定
- FIDO認証(スマートアプリによる追加認証)の設定
一般的なセキュリティ対策
- 取引制限の依頼:
- 使用しない取引の停止を証券会社に依頼する
- 例:投資信託のみ使用する場合は株式取引を停止
- 基本的なセキュリティ対策:
- 最新のウイルス対策ソフトの導入
- OSの定期的なアップデート
- メールやSMSのURLをクリックしない
- お気に入りからアクセスする習慣をつける
- 証券会社からのメールは必ず確認する
- 使用していない証券口座は解約する
保証の問題点と今後の展望
- ネット銀行は顧客に過失がなければ原則保証だが、ネット証券は異なる
- 金融商品取引法では損失補填が禁止されているが、第三者による不正アクセスは対象外との見解
- 10社(SMBC日興証券、SBI証券、大和証券、野村証券、マネックス証券、松井証券、みずほ証券、三菱UFJモルガン・スタンレー証券、三菱UFJスマート証券、楽天証券)が「一定の被害保障」で合意
- 全額保証は期待薄く、保証範囲は各証券会社に委ねられる
まとめ
ネット証券会社への不正アクセスによる被害は拡大中です。証券会社のシステム上の問題も明らかになっていますが、顧客側もできる限りの対策を講じることが重要です。「一定の被害保障」はあるものの全額保証は期待できないため、セキュリティ対策を徹底し、リスクを最小限に抑えましょう。リスクを取れない場合は、銀行の実店舗での投資信託利用など代替手段も検討する価値があります。
Follow me!
コメント