【超注意喚起】楽天証券で起きた新手のハッキング被害がえげつない

今時はネット証券、もしくは証券会社のネット口座で投資をしている人が大半だと思います。何よりも当研究所を閲覧しているあなたも、ネット口座を使っていることと思います。2025年2月頃から楽天証券で大規模なハッキング被害が続出、それが3月になると他の証券会社やネットバンキングの口座などにも波及しているようです。
この被害に遭うと、自分が持っている金融資産を勝手に売られて、その資金で謎の中国株や関連商品を買わされるんだとか。被害に遭ったら投資どころではないですし大損害必至なので、ここに【超注意喚起】しておきたいと思います。

楽天証券で起きたハッキング被害の手口

2025年2月頃から被害が続出し始めた楽天証券のハッキングは、新手の手口です。これまでネット口座へのハッキングでは口座内の資金を勝手に盗まれるというものが大半でしたが、今では二段階認証などのセキュリティ強化によってそれが難しくなりました。その代わりに出てきたのが、「勝手に手持ち資産を売られて、勝手に謎の中国株を買わされる」というものです。出金できないのであれば、他人の口座を乗っ取って損をさせて、その一方で自分が儲けてやろうというわけです。

実際のところ、そんなことが可能なのでしょうか？

さらに具体的に手口を解説しましょう。このカラクリを知って、私は戦慄しました。こんなことを思いつくやつがいるのか、と。
乗っ取り犯は、他人の口座にログインしてまずは手持ち資産を全部売却します。そして現金化します。その現金を使って、目的の中国株（取引量の少ないクソ株）に高値で買い注文を出します。
そして今度は乗っ取り犯（もしくはその仲間）が、そのクソ株を売り、乗っ取られた口座の持ち主に高値で売り付けます。かくして残ったのは、乗っ取り犯側の売却益と、乗っ取られた被害者口座の含み損ということになります。

よくもまぁ、こんなことを思いつくな・・・しかもまた中国やんけ・・・

と思ったのと同時に、これなら二段階認証などで出金のセキュリティを固くしたとしても、間接的にお金を盗まれてしまいます。怖いっちゅうねん！

被害の始まりは、フィッシングの疑いが濃厚

ここでひとつ、素朴な疑問。なんで他人のネット口座を勝手に操作できたのか？
その答えはおそらく、フィッシング詐欺です。本物そっくりのログインページを作って、そこにIDとパスワードを入力させる。これでログイン情報を盗み取り、堂々と本人になりすましてログイン⇒その後は先ほど解説した流れというわけです。
フィッシング詐欺のスタートは、だいたい不審なメールです。このメールももちろん、楽天証券を名乗る偽物です。メールもよくできていて、本物の楽天証券から届いたような体裁になっています。

こんなメール、来ていませんか？

管理人タナカのところに、こんなメールが毎日のように来ています。色々なパターンがあるみたいですが、だいたいこんな感じでセキュリティを強化する必要があるので、ここ（偽ページへのリンク）からログインして作業を進めてね、みたいな内容です。

ここにある「セキュリティを更新する」をクリックすると、その先にあるのは偽ページです。試しにクリックしてみたら（真似しないでください！）、すでにアクセスできませんでした。犯罪者もコロコロとページの所在地を変えてるんでしょうね。この手のメールが毎日届いている方は、くれぐれもクリックしないようにしてください。

【2025年3月25日追記】特典を餌にするバージョンも届きました

3月25日の朝、楽天証券を名乗るこんなメールも届きました。セキュリティの不安を煽るバージョンではなく、今回は特典を餌に釣る作戦のようです。リンク先を確認したら全くの偽物だったので、こちらもご注意を。

よく見たらツッコミどころ満載

ところで先ほどのメール、よく見るとツッコミどころ満載なんですよね。まず、「アップグレードは無料で数分程度です」という日本語がちょっと変。そして、差出人アドレスが「qp39.rakuten.Support.mailqp39@jire.net」という、どう見てもパッチもん。そもそも、楽天証券に登録しているメールアドレスではないところにもバンバン届いてるし。
これだけ尻尾丸見えのフィッシングメールであれば見破れるかもしれませんが、もっと精巧にできていることもあるので、ツッコミどころが見当たらなくても信用はできません。

じゃあ、対策はどうする？

大切なお金を実質的に盗まれてしまうネット口座のフィッシング＆乗っ取り犯罪。じゃあ、どうやったら防げるのでしょうか。どれも100％の方法ではありませんが、それらの合わせ技でセキュリティはしっかり高まるので、これらを実践してください。

届いたメールが本物か疑う

フィッシング詐欺の発端はほとんどがメールからなので、普段使っている証券会社や銀行の名前を名乗っているとしても、本物かどうか徹底的に疑ってやりましょう。まず、自分がその口座に登録しているメールアドレスに届いているのか、差出人が複雑な文字列（本物っぽい文字列が入っていることが多い）になっていないか、などをチェックしてみましょう。

文章にツッコミどころがないかチェックする

決めつけてしまうのは申し訳ないですが、犯人はたぶん外国人（たぶん中国人）です。日本語に変なところがあったり、漢字が日本のやつではなく中国のやつになっていることもあったりします。
ただ、日本人の協力者がいたりどこかに日本人が監禁されて協力させられていたら、その限りではないと思いますが。

リンク先が正規のURLっぽい場合は怪しい

フィッシング詐欺のメールにはだいたい、「こちらから」みたいなボタンがあります。なぜなら、URLを表示してそこに誘導するようにすると、変なURLがバレるからです。画像にリンクを張って誘導することでバレにくくしているのでしょう。こざかしい。
そこでパソコンでメールを受信した場合はそのボタン画像にカーソルを重ねてみて、表示されるURLが変な感じになってないかをチェックしてみましょう。先ほどの楽天証券を名乗るメールで「セキュリティを更新する」のボタンにマウスカーソルを重ねると、こんなURLが出ました。

よく見たら「rakutensec」という文字列が入っているので本物感を出してますが、これは「myrakutensec.com」というドメインのURLです。こんな感じで本物っぽさを出しているやつは、だいたい嘘つきです。

リンク先を開いてしまった場合は証明書をチェックする

偽物と見破れずに偽のログインページに誘導されてしまっても、まだ大丈夫です。ここでログイン情報を入力しなければ被害にはなりません。ここで出来るのは、URLが本物かどうかのチェックです。楽天証券の場合は「rakuten-sec.co.jp」なので、それになっているかどうかをチェックするのに加えて、証明書をチェックする方法があります。
Chromeで閲覧している場合は、URLが表示されている窓の左にあるボタンをクリックします。

これですね。これをクリックして「この接続は保護されています」と表示されるかチェック、表示されたらそこをクリックして、「証明書は有効です」の部分をクリックします。すると、以下に証明書が表示されます。

ちゃんと楽天証券のドメインになっていますし、「Rakuten Securities, Inc.」となっています。これが出れば本物です。他の証券会社や銀行のページでも同様の方法で偽物を見破ることができます。

可能なセキュリティ設定は全部しておく

楽天証券はもちろん、他の証券会社や銀行でもネット利用のセキュリティを高める機能が用意されています。特段の事情がない限り、できるセキュリティ設定は全部しておきましょう。楽天証券の場合だと、二段階認証で乗っ取りのリスクを大幅に下げることができます。

この場合だと、上の2つが「利用しない」になっているので、これを変更しておきましょう。これを有効にしておくとログインの手間は増えますが、その分乗っ取りも難しくなります。どれも無料なので、やっておいて損はありません。

自分の身は自分で守るのが投資の世界

今回の楽天証券の被害は数百万円、数千万円の含み損になっている人もいるようで、SNSを見ていると阿鼻叫喚の様相です。じゃあ楽天証券がそれを補償してくれるのかというと、それは期待できないでしょう。証券会社としてはセキュリティを高めてその機能を利用するように呼び掛けているわけですし、そもそもフィッシング詐欺で乗っ取られたのであれば、利用者の責任になる可能性大です。
もしこれが楽天証券側の情報漏洩とかだと話は別ですが（もしそうなら楽天証券の存亡の危機でしょう）、フィッシングは利用者の責任となるのが普通です。
お金を増やすだけでなく守るのも投資の重要な役割ですが、そのためのツール（口座）を守ることもお忘れなく！