サイバーセキュリティ 
クラウド環境の導入やテレワークが普及したことによって
2025年の4月終わりから日本国内で証券口座の乗っ取り被害が急増しています。SBI証券、楽天証券、マネックス証券など、誰もが名前を知る大手証券会社でも被害が相次ぎ、資産を狙うサイバー攻撃の脅威が身近な問題となっています。
特に今回はのこれらの被害の多くは、証券会社を装った偽サイトによるフィッシング攻撃に加え、パスワードの使い回しや脆弱なパスワードなどの管理不備、多要素認証を設定できる環境が整っていたにもかかわらず、実際に設定していないユーザーが多かったこと、また、多要素認証を設定していたのにもかかわらず証券サイトの脆弱性によって、パスワードとIDでログインできる環境になっていたり、さらにはインフォスティーラー型マルウェアの感染など、複合的な要因によって引き起こされたと考えられています。
この記事では、日本で証券口座の乗っ取り被害が急増している背景、どんな原因で被害が発生するのか、そして誰でも今日から実践できる7つの対策を徹底解説します。
日本で証券口座の乗っ取り被害が急増している背景
日本国内で、証券口座の不正アクセスや乗っ取り被害が2025年に入ってから急増しています。金融庁によると大手証券会社を含む複数のプラットフォームで被害が報告されており、総被害額はわずか数ヶ月で、約3000億円超にものぼります。なぜ今、こうした攻撃が急増しているのでしょうか。その背景には、以下のような複合的な要因があります。
IDとパスワードのみでログインできてしまう環境が存在する
現在、多くの証券会社では、未だにログイン時に「ID+パスワード」のみでログインができてしまうサービスも未だに存在します。
この方法でのログインは、利便性が高い反面、パスワードが一度でも漏洩すると、第三者によるログインが簡単に成立してしまうという重大なリスクを抱えています。
特に、同じIDやパスワードを他のサービスと使い回しているユーザーが多く、パスワードリスト型攻撃が有効に機能してしまっているのが現状です。さらに、多要素認証(MFA)が導入されている証券会社でも、その利用が任意となっているケースが大半で、ユーザー自身が設定を行わない限り有効になっていないことが問題として浮き上がっています。さらに、二要素認証を設定していたのにも関わらず、バックアップサイトの脆弱性により、証券口座が乗っ取られてしまった事例も確認されています。
こうした状況は、攻撃者にとって狙いやすい”環境を作り出してしまっています。
犯行が高度かつ計画的
犯行の手口は非常に高度かつ計画的で、単なるログイン情報の不正利用にとどまりません。
攻撃者はまず、被害者の証券口座にアクセスすると保有株を即座に売却し、その資金を使って流動性の低い中小型株を大量に買い集めていたことも複数確認されています。
その後、株価が吊り上がったタイミングを見計らい、自らがあらかじめ保有していた同銘柄を高値で売却し、不正な利益を得ています。このような一連の行為は、単なる口座乗っ取りではなく、相場操縦にも該当します。
手軽に始められる
近年のネット証券・スマホ投資ブームにより、誰でも手軽に証券口座を開設できる時代になりました。
楽天証券やSBI証券などでは、スマートフォンひとつで申し込みから取引開始まで完結でき、若年層から高齢者まで多くの新規投資家が参入しています。
しかしその反面、セキュリティリテラシーが十分でないまま口座を開設・運用しているユーザーも少なくありません。便利さや簡単さの裏に潜むリスクが見落とされがちで、攻撃者はまさにこのような層を狙っているのです。
証券口座が乗っ取られる原因とは?
証券口座の乗っ取り被害は、単なる偶然や技術的なエラーによって起きるわけではありません。特に今回はのこれらの被害の多くは、証券会社を装った偽サイトによるフィッシング攻撃に加え、パスワードの使い回しや脆弱なパスワードなどの管理不備、多要素認証の不備、さらにはインフォスティーラー型マルウェアの感染など、複合的な要因によって引き起こされたと考えられています。ここでは、それらの代表的な4つの原因について詳しく見ていきましょう。
1. パスワード管理が適切でない
最も多い原因のひとつが、脆弱なパスワードの使用やパスワードの使い回しです。
「123456」や「password123」といった単純なパスワード、または他のサービスで使っているものを証券口座にも流用していると、パスワードリスト型攻撃の格好の標的になります。
また、パスワードを紙やPCのメモ帳などに記録していたり、誰かと共有していたりすることも重大なリスクです。
実際に、今回報道されている証券口座の乗っ取り被害の多くも、こうしたパスワード管理の甘さが攻撃の入口となったケースが確認されています。
2. 多要素認証を設定していない
多くの証券会社では、多要素認証(MFA)を導入していますが、それが任意設定になっていることが多く、実際には利用されていないケースが少なくありません。
MFAを有効にしていれば、仮にIDとパスワードが漏洩しても、追加認証が必要となるため不正ログインのリスクを大幅に低減できます。
スマートフォンの認証アプリやSMS、あるいは生体認証など、証券会社が提供するMFA機能を必ず有効化しておくことが重要です。
しかし、今回の主な被害では、たとえ多要素認証が有効になっていたとしても、証券会社が提供しているバックアップサイトページでは、IDとパスワードだけでアクセスできてしまう設計になっていたことが問題となっています。このように、攻撃者はMFAのかかっていないルートを狙って侵入することが可能になっていたことに加え、パスワードを複数のサービスで使い回しているユーザーが多かったことも被害拡大の大きな要因となりました。
過去に別のサービスから漏洩した認証情報が、そのまま証券口座へのログインにも使われていたため、攻撃者は大規模なパスワードリスト型攻撃を容易に実行できたと考えられます。
3. フィッシング
フィッシングは、証券会社を装った偽のメールやSMSを送信し、偽サイトへ誘導する手口です。その偽サイトでIDやパスワードを入力してしまうと、情報がそのまま攻撃者に渡ってしまいます。
最近では、メールだけでなく、LINEメッセージやSNS広告、Google検索結果を悪用したケースも報告されており、見た目では判別が難しいほど精巧になっています。
メールやメッセージ内のリンクをクリックする際は、必ず公式サイトかどうかを確認する習慣が求められます。
4. マルウェア
ウイルスやスパイウェアなどのマルウェアに感染した端末からログインすることで、ID・パスワードが盗まれることもあります。
とくに、怪しいサイトを閲覧したり、不審なファイルをダウンロードしたりすることで、マルウェアに感染するリスクが高まります。
例えば、インフォスティーラー型マルウェアの一種であるキーロガーは、キーボード入力や画面表示を記録し、ログイン情報を密かに外部に送信します。
ウイルス対策ソフトを導入し、常に最新の状態に保つことで、こうしたリスクを大きく減らすことが可能です。
自分の証券口座を守るための対策とは?
証券口座の乗っ取りは、誰にでも起こり得る現実的なリスクです。
特に近年は、個人投資家を狙ったサイバー攻撃が巧妙化しており、「知らなかった」「面倒だから」といった油断が大きな被害につながるケースも増えています。ここでは、誰でも実践できる7つのセキュリティ対策を紹介します。
1. 強力なパスワードを設定
強力なパスワードの設定は、あなたの証券アカウントを守る上で一番大切な要素です。
例えば、「名前+誕生日」「123456」「password」などの字数の少ない単純なパスワードは、真っ先に攻撃者が試す候補であり、ほんの数秒で破られてしまう可能があります。
例えば、強力なパスワードにするためには、英大文字・小文字・数字・記号を組み合わせた16文字以上のユニークななパスワードを使用することが重要です。また、以下のようなルールに従うことでより強力なパスワードを設定することができます。
さらに大切なのは、他のサービスと使い回さないことです。たとえ、証券口座のセキュリティが堅牢であっても、他のサービスから流出したパスワードがダークウェブ上で出回っていれば、攻撃者に突破されてしまう可能性があります。
これらの強力なパスワードを簡単に生成するためには、Keeperのようなパスワード生成ツールを使用し、すべてのオンライン上のアカウントにユニークなパスワードを別々に設定し、暗号化されたボルトで安全に管理することが一つの方法として挙げられます。
2. 多要素認証(MFA)を必ず設定する
多要素認証、またはMFAは、パスワード以外のもう一つの要素を使って本人確認を行う仕組みです。たとえば、スマートフォンに届く確認コード、専用の認証アプリを使った確認、生体認証による本人確認など、さまざまな手段があります。
代表的なツールとしては、Microsoft Authenticatorなどがあります。たとえIDやパスワードが漏洩しても、MFAが有効であれば、第三者によるログインはほぼ不可能になります。
現在、多くの証券会社ではMFAを導入していますが、その多くは任意設定であるため、利用者が自ら設定しなければ機能しない場合が少なくありません。
3. 公共Wi-Fiからのログインは避ける
カフェ、空港、ホテルなどにある無料Wi-Fiスポットは便利ですが、セキュリティ面では非常に脆弱です。多くの公共Wi-Fiは通信が暗号化されておらず、パケットの盗聴や中間者攻撃(MITM)によってログイン情報が第三者に漏れる可能性があります。
こうしたネットワーク環境では、証券口座へのログインや資産の売買など、機密性の高い操作は絶対に避けましょう。どうしても外出先でアクセスが必要な場合は、モバイル通信に切り替えたり、VPN(仮想プライベートネットワーク)、ZTNAなどと合わせて接続することでリスクを低減することは可能です。
4. セキュリティソフト導入
証券口座の情報は、ウイルス、スパイウェア、キーロガーなどのマルウェアによって盗まれることがあります。これらのマルウェアは、ユーザーがキーボードで入力した情報や、画面に表示された内容を記録・送信することで、ログイン情報を第三者に抜き取らせます。
そのため、信頼性の高いウイルス対策ソフトを導入し、常に最新の状態に保つことが重要です。加えて、OSやブラウザ、アプリのセキュリティアップデートもこまめに行い、脆弱性を放置しないようにしましょう。
5. 利用していない証券口座は解約・凍結
長期間使っていない証券口座は、セキュリティ管理が甘くなりがちで、不正アクセスされても気づきにくいという大きなリスクがあります。
資産が入っていなくても、乗っ取りによって本人名義で違法取引が行われる可能性もゼロではありません。
心当たりのある口座がある場合は、一度ログイン履歴を確認し、必要ないと判断した場合は閉鎖手続きを行うか、凍結して利用停止にしておくのが安全です。
6. 証券会社からの通知メール・SMSを有効にしておく
多くの証券会社では、ログインや出金、パスワード変更などが発生した際にメールやSMSで通知を送る機能があります。この機能を有効にしておくことで、不審な操作にすぐに気づき、被害の拡大を防ぐことが可能になります。特に「ログイン通知」や「新しい端末からのアクセス通知」は、乗っ取りの初期兆候を見逃さないための重要なサインです。通知設定は証券会社のマイページやアプリから簡単に確認・変更できます。
7. ログイン履歴・取引履歴を定期的にチェックする
「最後にログインしたのは自分か?」「見覚えのない取引はないか?」という視点で、定期的にログイン履歴や取引履歴を確認する習慣をつけましょう。週1回程度のチェックでも、不正アクセスの早期発見につながります。
証券会社によっては、ログイン履歴を「IPアドレス」「使用端末」「ログイン日時」などの詳細付きで確認できる機能があります。違和感があるアクセス履歴を見つけた場合は、すぐにパスワードを変更し、証券会社に報告しましょう。
まとめ:パスワードマネージャーで証券口座の管理を安全に
証券口座は、あなたの大切な資産に直接つながる最も重要なオンラインアカウントの一つです。そのセキュリティを守るためには、強力なパスワードの管理、多要素認証の活用、不審なログインの早期発見など、複数の対策を重ねることが不可欠です。
こうした対策を日常的に確実に実践するための強力なサポートツールが、パスワード管理ソリューションのKeeperです。Keeperを使えば、証券口座を含むすべてのオンラインアカウントのログイン情報を安全に一元管理でき、必要に応じて複雑で安全なパスワードの自動生成・保存・入力が可能になります。
さらに、多要素認証(MFA)やダークウェブ監視機能とも連携しており、不正アクセスの兆候をすばやく検知し、あなたの資産を守ることが可能になります。
乗っ取り被害が深刻化している今こそ、証券口座のセキュリティを見直し、Keeperで自分のアカウント管理を徹底的に保護するセキュリティ対策を始めましょう。
まずは、30日間のパスワードマネージャーまたはビジネス用の14日間のパスワードマネージャーのトライアルをお試しください。
