巧妙化・悪質化する口座乗っ取り詐欺から資産を守る最新マニュアル
hetare2025年の3月頃から猛威を振るっている、証券口座の乗っ取り被害。有名な億投資家も被害に遭ったようで、被害額の合計は3,000億円を超えるそうです。こうなってくると誰もが他人事ではなく、しっかり自分の資産を守る行動を取る必要があります。前回の超注意喚起のあともまだまだ被害が続出していて証券会社も動いてきているので、最新事情をお届けしたいと思います。
目次
証券口座の乗っ取り被害とは
2025年3月頃から証券口座の乗っ取り被害が続出するようになり、最初はネット界隈で結構な騒ぎになりました。その後テレビなどでも取り上げられるようになって社会問題化しました。その手口や当初の問題点については以下の記事にまとめていますので、そちらを参照してください。
【超注意喚起】楽天証券で起きた新手のハッキング被害がえげつない
今時はネット証券、もしくは証券会社のネット口座で投資をしている人が大半だと思います。何よりも当研究所を閲覧しているあなたも、ネット口座を使っていることと思いま…
今からでも間に合う最速FIRE研究所 
今回お伝えしたいのは、その後についてです。犯罪者はすでに3,000億円ほどパクることに成功して調子に乗っているのか、「俺も俺も」と参入が相次いでいるのか、詐欺のメールは数が大幅に増えて、しかも巧妙化しています。
手口がますます巧妙化している
口座乗っ取りは、ほとんどがフィッシングによって起きています。フィッシングとは偽のログインページを作ってそこにIDやパスワードを入力させてログイン情報を窃取する手口です。証券会社を名乗るメールを送り付けて、「セキュリティ強化」だの「あなたの口座がハッキングされています」だのと不安を煽って、「こちらのページからログインして確認を」として偽サイトに誘導してIDとパスワードを入力させます。そこで不正アクセスした上でボロ株を買わせる・・・というのがこれまでによく指摘されてきた手口です。
この手口がアップデートといいますか、巧妙化といいますか、より高頻度かつメールの文言が「あの手この手」になっています。こちらは、私のもとに届いた詐欺メールの数々。
特にこの手のメールだけを並べたのではなく、届いたメールを2日分ほど削除せずにしていただけで、これだけあります。ある1つのメールアドレスでこれだけ届いているので、他のメールアドレスにも同様の数で届いています。私が悪質だと思うのは・・・
- セキュリティ対策をしないとマズいことになる
- セキュリティ対策をしたらお金がもらえる
- 不正取引があったので今すぐ確認を
とか言いながらあの手この手で偽サイトにアクセスさせようとしている点です。次は、別のメールアドレスに届いたメールもご覧いただきましょう。こっちはもっとひどいです。
この中で悪質だと思うのは、「補償」を匂わせているメールです。すでに口座乗っ取り被害に対して証券会社が補償を検討しているとのことで、そのニュースが流れ始めた時期に詐欺メールもそれに反応しています。
「本人確認と補償申請」という文言がありますね。被害に遭ったかもしれないと思った人がこのメールを見て偽サイトにIDとパスワードを入力してしまうと・・・目も当てられません。詐欺師の手口はどんどん進化しているので、皆さま絶対に騙されないようにしてください。
二段階認証も破られている
IDとパスワードだけで認証をすると、この2つの情報を盗まれたらアウトです。そこで証券会社は二段階認証や二要素認証といった対策を講じています。ここで改めて、二段階認証と二要素認証のおさらいをしておきましょう。
| 認証方式 | セキュリティ上の効果 |
| 二段階認証 | ID+パスワードという1段階に加えて、秘密の合言葉のような認証方法を加えて認証する方式。よくあるのがメールで送られてくるワンタイムパスワードを入力して認証する形です。ID+パスワードを盗まれても自分のメールアドレスを受信できるのは自分だけなので、ワンタイムパスワードを入力する段階で不正アクセスを防止できます。 最近は「Google Authenticator」などのスマホアプリを使ってワンタイムパスワードを取得する方法も広がっています。 |
| 二要素認証 | 認証に2つの要素を使う認証方式。銀行のキャッシュカードを使って認証する場合、キャッシュカードと暗証番号という2つの要素を用いるため、二要素認証です。ホテルの貴重品ボックスについても、部屋に入る鍵と自分で設定する暗証番号が必要なので、仮にホテルの従業員が部屋に入れたとしても貴重品ボックスの暗証番号が分からないので、貴重品は守られます。 |
要は2つ以上の段階・要素にすることでセキュリティ性を高めるということです。それなら安心・・・と言いたいところですが、最近は2段階認証を突破する手口が登場しているそうです。その手口は、こうです。
- 証券会社をかたるメールを送り付けて偽サイトに誘導
- 偽サイトで「ログイン中」「処理中」のような表示が出て待たされる
- ハッカーが盗んだIDとパスワードでログインを試みる
- 正規ユーザーのもとにワンタイムパスワードが届く
- 偽サイトに「ワンタイムパスワードを入力してください」と表示させ、ワンタイムパスワードを入力させる
- ハッカーが本物のサイトにワンタイムパスワードを入力して乗っ取り成功
・・・とまぁ、本当に詐欺師って頭いいなと思います。偽サイトにワンタイムパスワードまで入力させることで、まんまと不正ログインできてしまいます。二段階認証にしているからといって安心できない世知辛い世の中です。
大切な資産を守るためにできること
二段階認証にしても乗っ取られるのであれば、もう防ぎようがないのでは?と思ってしまいますよね。100%防ぐ方法がない以上そう思ってしまうかもしれませんが、私は現段階でどの証券会社、FX会社の口座も乗っ取られてはいません。それは、有効な対策をしているからです。ちゃんと対策をすれば、乗っ取られるリスクを限りなくゼロにできます。
その対策とは・・・
対策① 証券会社、FX会社からのメールは基本的に疑う
これだけ大量の詐欺メールが届くと「本物と見分けるのが大変」と感じるかもしれません。しかし、証券会社やFX会社からのメールは基本的に疑ってください。特に不安を煽るような内容、脅しやお金がもらえるなど、心が動くようなことが書かれているメールはほとんどが詐欺です。
届いたメールから何かの行動を起こすことは避けるようにしましょう。仮に大事なメールを無視してしまったとしても、口座にログインすれば同じ通知が表示されるので、そいで対応すれば問題ありません。
対策② メールの中のリンクからアクセスしない
詐欺メールの目的は、フィッシングです。偽サイトにIDとパスワードを入力してもらうことが目的なので、メールの中に必ず「こちらから」的なリンクがあります。URLがあったり、ボタンがあったりしますが、ここにアクセスしないようにしてください。
こちらは、実際に届いた詐欺メールです。
「デバイス認証を今すぐ行う」というボタンをクリックすると、偽サイトに誘導されます。メールから行動を起こすのではなく、本当に何かセキュリティ強化のためにしなければならないことがあるのであれば、自分で証券口座にアクセスして、そこにある「お知らせ」を見てください。
こちらは、楽天証券の口座にログインしたら表示される「お知らせ」です。
大事なことなので、絶対に目に入るように表示されます。メールで何かの操作をしなければならないとの通知が来たとしても、このように公式サイトにアクセスしてそこから操作するようにしましょう。そうすることで、偽サイトに大事な情報を入力してしまうことはありません。
大事なことなのでもう1回言います。メールから何かの行動を起こさないようにしましょう。
対策③ アクセスしたURLをよーく確認する
これはちょっとインターネットの知識が必要になるのですが、正規のURLと偽物のURLを見分ける方法を身につけておくと、最終段階で偽サイトに情報を入力してしまうのを防げます。
本物のURLは、「sbisec.co.jp」や「rakuten-sec.co.jp」となっています。こちらが、本物のURLです。まずは、楽天証券。
次に、SBI証券。
いずれも下線を引いているところをチェックします。偽物にも「sbi」や「rakuten」など紛らわしい文言が入っていることもありますが、よーく見ると本物とは違うので、少しでも違うと思ったら入力しないでください。
そもそも、メールにあるリンクからアクセスしなければ、偽物に誘導される可能性はないので、そこを徹底することが重要です。
今や非常識となっている乗っ取り対策
次に、かつては対策として重視されていた点ではあるものの、今となっては「非常識」になりつつある乗っ取り対策についても注意喚起しておきたいと思います。
非常識① 日本語が変なら詐欺
こうした詐欺のほとんどは、海外からのものです。特に中国からのメールが多いことから、メールに使われている漢字が日本のものではなかったり、どこか日本語が変という特徴がありました。
しかし今では生成AIの活用や、犯罪者グループに日本人の協力者がいることなどで日本語が変ではなくなっています。日本語がしっかりしているからといって信用してはいけません。
非常識② 詐欺にはセキュリティソフトが検知する
フィッシング詐欺はサイバー攻撃の一種なので、セキュリティソフトを入れていれば大丈夫と思われがちです。しかしながら、詐欺メールや偽サイトはそれぞれ「普通のメール」であり「普通のWebページ」です。
セキュリティソフトはマルウェア(ウイルスやトロイの木馬といった悪意のあるソフト)を検知しますが、特にマルウェアが仕込まれているわけではないメールやWebサイトは検知しにくいのです。セキュリティソフトが何も言ってこないからといって過信はしないようにしましょう。
補償を期待しすぎてはいけない
相次ぐ口座乗っ取り被害に対して、多くの証券会社は一定の補償を検討しているそうです。確かに長年コツコツと貯めたお金や老後のために運用していたお金をごっそりと持って行かれたのでは納得がいかないので、こうした補償の話が出てくるのは朗報です。
しかし、補償を期待しすぎてはいけません。証券会社は「一定の補償」をするとは言っていますが、無条件で全額を補償するとは言っていません。明らかに推測されやすいようなパスワードであったり、多くのサイトでパスワードを使いまわしていた場合など、利用者にもかなり非があるようなケースでは補償の範囲が狭くなるでしょう。
これはちょっとキツい言い方になりますが、投資の世界はすべてが自己責任です。投資でお金を減らしてしまうリスクはもちろん、口座を守るのも本来は投資家の役目です。証券会社はそのために有効な対策を提供しているので、それをしっかり活用して自分のお金は自分で守りましょう。
「口座が乗っ取られて損をした。補償してほしい」と言っている人はおそらく、投資が自己責任であることを真の意味で理解していないのではないかと思います。証券会社が提供している有効な対策を講じずに放置していた人が、資産を守るための投資的なリスクヘッジをしているとも思えません。
自分で考えて、自分で行動する。そして結果は自分の責任として受け止める。今一度、この基本に立ち返って「強い投資家」が増えてほしいと思います。
