証券口座乗っ取りによる取引額が総額3000億円規模に〜証券各社は被害の補償と多要素認証の義務化を実施〜

個人情報漏えい事件

プライバシーザムライ

2025.5.9

プライバシーザムライ

プライバシーザムライ中康二です（オプティマ・ソリューションズ株式会社代表取締役）。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護／情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

※トップ画像はマネックス証券のWebサイトより

皆さんこんにちは。
プライバシーザムライ中康二です。

ネット証券大手各社において、証券口座の乗っ取りが多発しており、乗っ取られた口座数が3500件を超え、不正取引の総額が3000億円を超えるという前例のない事態に発展しています。今回は、報道内容などを総合し、調査結果を取りまとめてお伝えします。

1 証券口座乗っ取りの手口とその被害の実態
2 大手ネット証券10社は、一転して損失補償の方針を発表
3 各社とも多要素認証の義務化を実施
4 今回の事件から学べること〜IDパスワードだけの認証はNG〜
5 週に一回程度、更新情報をお届けします。

証券口座乗っ取りの手口とその被害の実態

犯人はあらかじめ盗み出したIDパスワードを利用して、証券口座にログインしているようです。どうやら詐欺メールを大量に送付して、本物のWebサイトと誤認させてIDパスワードを盗み取る手段が採用されているようです。過去に流出したIDパスワードの情報を利用しているという説もありますが、ここは詳細不明です。

ログインする際、各証券会社が用意しているログイン画面のうち、セキュリティが甘く設定されており、IDパスワードだけでログインできる特別なページを利用しているようです。証券取引はリアルタイム性が重要ですから、いざ売買したい時にログインできないようでは困るということで、セキュリティの甘いログイン方法が残されていたケースが存在していたようです。

不正にログインした犯人は、口座にある資産をどんどん売却し、現金化します。そして、逆に中国の小型株（時価総額の小さな株式）を高値で買い付けます。犯人たちが高値で買い付けるため、この小型株はどんどんと値上がりしていくようです。

一方で、犯人たちは値上がり前の安い価格でこの小型株を沢山買い付けており、上がったところで一気に売却。これで多額の売却益を得ることができるというからくりだそうです。NHKの報道では、売却額が1600億円、買い付け額が1400億円ということですから、1アカウントあたり5000万円程度の高額の残高がある口座を狙って実行したものと思われます。通常、不正にログインするまでは残高の金額は分かりませんから、あらかじめ多数の口座にログインして調査しておいて、残高の大きな口座だけを短期間に狙った可能性もあると思います。このような取引があると、日本ではすぐに誰が売却で儲けたのか分かり、不正が追求されると思いますが、中国ではそういう対応は取ってもらえないのかなあと思います。

大手ネット証券10社は、一転して損失補償の方針を発表

これらの被害に対して、ネット証券各社は不正アクセスによる被害の補填のルールがなく、また過去に損失補填を行って大きな問題になった経緯もあることから、損失の補償は行わない方針を公表していました。

しかし、被害の規模が大きくなり、加藤金融担当大臣の記者会見での発言なども受け、一転して損失を補填する方針を発表しました。

損失を補填すると発表した大手ネット証券10社は下記のとおりです。

SMBC日興証券
SBI証券
大和証券
野村証券
松井証券
マネックス証券
みずほ証券
三菱UFJeスマート証券
三菱UFJモルガン・スタンレー証券
楽天証券

各社とも多要素認証の義務化を実施

これらネット証券各社としては、これ以上の被害の拡大を止め、将来に不安を残さないため、多要素認証の義務化を急いでいるようです。「証券取引にはリアルタイム性が重要」「利便性を確保するために様々なアプリから利用できるようにしたい」との考え方から、従来はIDパスワードだけでログインできる仕組みが用意されていましたが、今後は一斉に多要素認証を組み込んでいく方針のようです。

また、多要素認証だけではなく、今回を機会にパスワードを変更することも合わせてオススメします。