2025年3月22日頃から楽天証券の不正アクセス問題についてSNS等で大きな波紋を呼び、今現在も話題になっています。各証券会社で緊急のメンテナンスが入る等慌ただしく対応している状況です。
今回は結局何が問題なのか?対策は必要なのか?どう対策すれば良いのか?について簡単にまとめたいと思います。
目次
1.楽天証券口座に対する不正アクセスとは?
まず何が起きたかですが、「保有していた株を全て売却され、中国株を購入された」とのことです。しかもその中国株の株価が下落し多額の含み損を抱えてしまっているようです。
なぜ中国株が買われてしまったかについては、おそらく犯人が安値でその銘柄を購入した状態で不正アクセスにより大量に同銘柄を購入することで株価を操作し、高値で売り抜けることで利益を得たものと思われます。直接的に現金を送金するのではなく株価を介して利益を得るという新しい手法になります。
楽天証券の見解ではフィッシング詐欺が原因となっています。
フィッシング詐欺とは正規の企業を装い、個人情報や金融情報を騙し取る犯罪行為のことです。例えば、銀行やオンラインサービスを名乗り、その人の口座情報やパスワードを入力するよう促す偽のリンクやメッセージが送られてくることがあります。
特徴としては、緊急性を煽り判断力を低下させ、偽のホームページにログインさせようとしてきます。例えば、高額の抽選に当選したので◯時間以内にホームページで確認して、不正が発覚したので◯時間以内にログインしないとアカウントを削除します、等で煽ってきます。そして偽ホームページに入力したログインIDやパスワードを抜き取り不正アクセスを行います。
ただ、フィッシング詐欺のメールについてはかなり周知されており、メールを見ない、迷惑メールで自動で弾いている、メールの直接リンクからホームページに飛ばない、等の対策があります。そもそも緊急性の煽り方も若干違和感があることが多いので落ち着いて確認し、Web検索やブックマークからのログインを基本とするのが良いでしょう。
今回の不正アクセスで怖いところは、実はフィッシングだけが要因ではないのじゃないか、ということです。今回の被害者からの情報ではフィッシングメールに対しては対策しておりそもそもメールを見てもない人もいるので、フィッシング詐欺だけが要因とは考えにくいようです。
つまり、今回はフィッシング以外の方法で不正アクセスが実行されている可能性があります。具体的に他に何があり得るかというとマルウェアに感染した端末を使用している場合です。この場合、画面の内容、キーボード入力、ブラウザの保存情報などが盗まれ悪用される可能性があります。
マルウェアの場合は端末自体が問題なので、楽天証券以外でも発生し得るでしょう。
2.楽天証券以外の証券口座は大丈夫か?
先に述べたように楽天証券以外も不正アクセスの可能性があり、実際被害にあっている人もいるようです。
例えば、SBI証券やマネックス証券等どの証券会社であってもマルウェアで盗まれた情報を使われたら通常のアクセスなのか不正アクセスなのかを切り分ける方法はありません。
そのため、今回は楽天証券で話題になっていますが、他の証券会社を使用しているから大丈夫とは限らないので注意が必要です。
3.不正アクセスへの対策について
不正アクセスの要因がフィッシングだけでなくマルウェアの可能性もあることが判明しました。そのためフィッシングメールを無視するだけでは対策とはなり得ず、非常に危険性が高い状況にあると思います。何かしらの対策は必須と思ったほうがいいでしょう。
以下優先度の高い順で対策案をまとめてみました。
1.証券口座のログイン/出金に二要素認証を設定する
2.メールからはログインしない
3.PCにウィルス除去ソフトを導入する
1.二要素認証を設定するのが一番セキュリティ効果が高いと思ます。
二要素認証とは、通常のログインであればIDとパスワードに加え本人が指定した端末に認証コードが送られそれを入力しないとログインできない仕組みになっています。この認証コードは時間制限付きのものが多いので、リアルタイムで情報が盗まれていない限り安全にログインすることができます。手間が増えてしまうのがネックですが、資産が盗まれるよりは遥かにマシです。
また、この対策はフィッシングにもマルウェアにも有効です。
2.メールからログインしないというのは主にフィッシング対策となります。この対策は基本的に実施すべきなので、正しい証券会社からのメールであってもメールのリンクからログインする習慣はやめたほうがいいです。
ただし、フィッシングにしか有効ではないのでこれだけではマルウェアの対策にはなりえません。
3.ウィルス対策ソフトはマルウェアに対して有効かもしれませんが、ウィルス対策とウィルスの進化は常にイタチごっことなっており、絶対に安全とはなりません。しかもフィッシングメールからログインしてしまってはウィルス対策ソフトではどうしようもありません。
以上より、1.二要素認証が最も効果的であり今回の事件を機に皆さん実施された方が良いでしょう。
以下では各証券会社ごとの二要素認証の設定方法について記載するので、こちらを参考に設定変更してください。
主要所の楽天証券、SBI証券、あとは自身が持っているのでマネックス証券についてまとめました。
①ログイン後「マイメニュー」に移動
②「お客様情報の設定・変更」
③「セキュリティ設定」
④「ログイン追加認証」と「出金」で設定を行い設定状況が「利用する」になればOK
①ログイン後「お客さま情報 設定」
②「各種サービス」タブに移動し、「デバイス認証」と「出金時の二要素認証」の設定変更を行い「利用する」になればOK
①ログイン後、「保有残高・口座管理」タブに移動し「お客様情報 確認・変更」を押す
※以下はPC画面ですが、スマホからの場合も「MYPAGEパソコン」に移動してください
②中段あたりの「二要素認証」の設定変更を行い「利用する」になればOK
4.まとめ
今回は不正アクセスに対するセキュリティ対策について記載してみました。
フィッシング詐欺だけであれば自分もここまで対策しなかったと思いますが、フィッシング以外も絡んでくると恐ろしいですね。そうじゃなかったとしても改めてセキュリティ対策はして置かなければと思いました。
二要素認証という手間は増えますが、資産の喪失を思うとやっておいたほうがいいと思うので、みなさんも是非今回の事件をきっかけにセキュリティ対策を見直してみてください。
