証券会社への不正ログイン 対策はどうするか

IT / machinery
Image by Alltechbuzz_net from Pixabay
2025.04.01
IT / machinery

 楽天証券をはじめ、各証券会社への不正ログインによる被害が多発している旨のニュースが話題となってます。
 これに対して、楽天証券やSBI証券をはじめとする各証券会社が、ユーザーへのセキュリティ強化や注意喚起を行っています。
 このことは多くの方が情報発信されており、証券会社におけるセキュリティ強化のための設定方法などを詳しく解説したものもあります。

 私も楽天証券、SBI証券を含めて複数の証券会社を利用していますし、こちらの記事の追記で記載したように、故意か誤ってか分かりませんが、私以外の誰かが日興証券の私の口座にログインしようとしたこともありました。
 今回は、私がどのような対策を行ったか、どの程度効果が期待できるのかなどを整理しましたので、少しでも参考になればと思います。

(2025.5.4)メインで利用しているSBI証券について、一部の取引に制限をかけてもらいました。詳細は、本文のこちらをご覧ください。


楽天証券 不正アクセス事件の概要

 ニュースの発端と言える楽天証券への不正アクセスについては、たくさんの情報が出ていますので、極簡単にかいつまんで。

 楽天証券の口座に不正にログインされ、保有している株が売却され、その資金を使って流動性の低い中国株を大量に購入する注文をされた結果、含み損を大きく抱えた中国株だけが残った、と言うものです。
 つまり、犯人は、直接何かの資金を盗むのではなく、安い中国株の値段を釣り上げて売り抜けて、実質的に被害者に損をさせて利益を得ていったという形です。

 そもそも、なぜ不正にログインされたのかについて、フィッシング詐欺またはスパイウェア・マルウェアによってIDとパスワードが抜き取られたのではないかとされています。

 また、不正アクセスの事件は楽天証券、SBI証券以外の他の証券会社でも確認されているとのことです。

 これに関連して、例えばSBI証券は規約改定を行い、簡単に言うと、SBI証券からの漏洩でなく、どこかで盗まれたID、パスワードを使って不正にアクセスされた場合には、SBI証券はその損害を補償しませんよ、というものです。

(2025.5.3)2025年5月2日付けで、日本証券業協会が証券会社大手10社の申し合わせとして、「発生した被害について、各社の約款等の定めに関わらず、一定の被害補償を行う方針」である旨を発表しました。(日本証券業協会のお知らせ
 補償を受けるための条件や「一定の補償」がどの程度なのか、具体的なことは不明ですが、何らかの対応はしてくれるようです。
 そのためにも、各証券会社が注意喚起しているセキュリティ設定は必ず実施しておきましょう
 楽天証券やSBI証券をはじめ大多数(2025年5月14日現在で74社)の証券会社で、多要素認証を必須とするとのことですし。


証券会社によるセキュリティ対策

 この件を受けて、証券会社もシステム改修をするなどして、ログイン時のセキュリティ強化、例えば楽天証券では二要素認証、SBI証券ではデバイス認証(認証されていないデバイスからログインする際には二段階目の認証が求めらる)やFIDO認証(アプリのログイン時に生体認証を求められる)など、セキュリティを高める設定を行うよう、利用者に注意喚起しています。

 これらについて、完全ではない、穴がある旨、多くの方が指摘されていましたが、証券会社側も日々対策をされているようで、改善されてきています。
 ただし、証券会社が球威喚起しているセキュリティ設定をちゃんとしておかないと意味がありません。

 さらに、完全に「穴」が無いとは限りませんので、セキュリティの設定を済ませたからそれだけで安心と思わないことです。


私の行った対策

パスワードの変更など基本的な対策

 現状では、これが最も重要な対策だと思います。

 ダークウェブでは、多くのID、パスワードが売買されているという話です。自分が利用しているパスワードがどこからも絶対に漏れていないという確証はありません。このような事件があったのですから、大事なサイト(今回の場合は証券会社)のパスワードは念のため、変更しておいた方が良いでしょう。

 これも良く言われるように、複雑で推測されにくいパスワードを利用し、パスワードの使いまわし(同じパスワードを複数のサイトで利用)は絶対にやめましょう。これが大前提です。
 パスワードを変更しても、簡単なパスワードであればリスクは高いままです。

 ハッカーがツールを使ってパスワードを破ろうとする場合には、特に「長さ」が重要になります。
 アルファベットと数字による8文字のパスワードなら1時間程度で解析される危険性があるというデータ(2020年当時)もあり、14文字から16文字をが望ましいなどと言われています。

 私は、パスワード管理アプリ「Bitwarden」を利用して、もともと14文字以上の推測されにくい複雑なパスワードを設定していますが、念のためパスワードを変更しました。

 ちなみに、ブラウザに保存しているパスワードを抜き取るスパイウェア・マルウェアがあるということなので、ChromeやEdgeなどブラウザベースでパスワードを管理するのは避けた方が良いかも知れません。

 パスワードの管理はアプリなどではなく紙などアナログな方法で管理するのが一番安全なのかもしれませんが、私の場合大量のパスワードをそのように管理するのはあまりに不便で非現実的ですので、現状ではパスワード管理アプリに頼らざるを得ません。

 あとは、(公式からの発信と思われるものでも)受け取ったメールのリンクを踏まない、怪しげなサイトに行かない、よく分からないファイルをダウンロードしないなど、普段から基本的な対策を心がけるのは当然に必要です。

 特別なことではなく、当たり前の対策ですが、まずはこれは基本だと思います。

 なお、パスワード管理アプリのBitwardenについては、過去記事で使用感などを紹介していますので、興味のある方はご覧ください。
 パスワード管理アプリはフィッシング対策にも役立ちます

パスワードマネージャー「Bitwarden」を使ってみた
無料で利用できるパスワードマネージャー、Bitwardenを実際に導入したので、その概要、使い勝手、メリット、デメリットなどについて解説します。 クラウド型で複数のプラットフォームに対応、生体認証が利用できるなど、なかなか便利に利用できます。
naniyablog.com
2023.12.15

証券会社のセキュリティ設定

 証券会社のセキュリティに関する設定で、可能なものはできるだけ設定しました。
 ざっとあげると

ログインのセキュリティ強化
 楽天証券なら二要素認証、SBI証券ならデバイス認証、アプリのログイン時のFIDO認証など。

出金時の二要素認証
 出金指示を行う際にパスワードに加えてメール等での認証が必要というものです。
 今回の楽天証券の事案では、資金をそのまま出金されたわけではないので効果はありませんが、やらないよりはやっておいた方が良いと思います。

メール通知
 ログインがあった場合や注文を受け付けた場合など、登録しているアドレスにメールで通知してくれるものです。不正にログインされた場合には、メール通知があってももう手遅れということもありますが、これもやらないよりはやっておいた方が良いと思います。
 証券会社によっては、例えば三菱UFJ eスマート証券はデフォルトで色々な通知がオンになっていますが、そうで無い場合もありますので、ご自身の設定を一度確認してみてください。

 被害者の中には、投資信託を保有しているだけで証券会社のサイトにはあまりアクセスしない、通知も気づかなかった、という方もいらっしゃるようですが、やはり証券会社からの通知は気にした方がよいですし、サイトの方も見に行った方が良いと思います。

銀行との連携解除

 楽天証券なら楽天銀行との「マネーブリッジ」、SBI証券なら住信SBIネット銀行との「SBIハイブリッド預金」やSBI新生銀行との「SBI新生コネクト」、三菱UFJ eスマート証券ならauじぶん銀行との「auマネーコネクト」など、銀行と証券会社との間で簡単に資金移動ができるサービスがあります。
 非常に便利なのですが、万が一証券会社に不正にログインされてしまうと、銀行に置いてある資金まで簡単に利用されてしまいます。

 また、これら以外でも、SBI証券では、例えばSBI新生銀行などの口座振替契約を行っている場合、「リアルタイム入金」と言って証券会社側の操作だけで銀行から資金を移動させることが可能です。
 つまり、銀行側の操作を経ることなく、銀行口座の資金を悪用されてしまう危険があります。

 私は、これらのサービスも基本的には解除をしました。

 SBI証券の「SBI新生コネクト」「口座振替契約」は解約した場合の(SBI新生銀行の優遇の)デメリットが大きいので、どうするか悩んで、とりあえず、普通預金にごくわずかの金額だけを残してちょっと様子見をしていましたが、SBI証券に限らず全体として不正について収束の兆しが見えそうにないので、結局、解約しました。背に腹は代えられません。

 また、「auマネーコネクト」は解除するとauじぶん銀行の普通預金金利が0.1%下がってしまいますが、こちらの方もやむを得ないと割り切ることにしました。

 こうした対策については、証券会社に不正にログインされて、保有している株などの商品を売却されてしまえば被害が出るので、銀行との連携まで解除するのか、という考えもあるでしょう。
 この辺は、連携対象の銀行をどの程度利用しているのかにもよるでしょうし、メリットとリスクをどう考えるかですが、私は念のため、そうしておきました。

 ちなみに「新生コネクト」は、SBI証券のウェブサイトからオンラインで解約ができますが、「auマネーコネクト」はオンラインでは解除できず、三菱UFJ eスマート証券のお客様サポートセンターに電話で依頼する必要がありました。この電話がなかなか繋がりにくく、また、オペレーターから解除の理由などを聞かれたりするので、ちょっと面倒ではあります。

取引の制限

 楽天証券やSBI証券など(他の証券会社も?)では、電話等で依頼すれば取引に制限をかけることが可能ということなので、メインで利用しているSBI証券について、制限をかけました

 内容は、「個別株(日本株、外国株とも)の取引を制限」、「出金の制限」です。
 投資信託の積み立ては続けたいので、このようにしました。これで大きな被害は防げるのではないかと思います。

 SBI証券の場合、電話以外でも「お問い合わせフォーム」からの依頼でも対応してくれるとのことで、電話はかなり混みあっているらしいので、「お問い合わせフォーム」から依頼しました。

 Webサイトの「お問い合わせ」のページの中の「その他のお問い合わせ方法」→「お問い合わせフォームでご相談」をクリックして、依頼内容を書き込みます。
 連休中ということもあってか、中2日かかりましたが、ちゃんと対応してくれました。

 ただ、オペレーターとやり取りした方が、自分が行いたい設定と証券会社側で対応できる設定とを確認しながら手続きできると思うので、面倒でないなら電話の方が良いとは思います。

 なお、制限の解除は、電話による依頼のみ、とのことです。なりすましで簡単に解除されてしまっては意味ありませんから、面倒ですが仕方ありませんね。
 ただし、電話でオペレーターとやりとりすると言っても、個人情報が洩れていれば、なりすましによって勝手に解除される危険性はあります。
 ですので、解除はSBI証券に登録している電話番号以外からは受け付けないようにしてもらえばさらに強固になると思います。
(電話番号の変更は、手順の関係で本人に知られずに手続するのは困難なようですので)

 ちなみに、楽天証券では、取引き内容に応じた個別の制限は、電話でオペレーターに依頼する必要があるということです。

口座のロック(ログイン制限)

 私自身は行っていませんが、参考までに。

 取引の制限ではなく、ログイン自体を制限するという設定も証券会社によっては可能です。
 自分自身でもログインできなくなくなってしまいますので、頻繁にログイン・取引きをすることがない、と言うような場合に、セキュリティの一つとして有効だと思います。

 例えば、楽天証券では、電話の自動音声対応により、証券口座自体にロックをかけることが可能ということです。
 オペレーターとやり取りする必要が無く、比較的繋がりやすいと思われます。
 ただし、投資信託の積立設定をしていても実行されずにエラーになるなどの注意点があります。

 また、SBI証券では、Webサイト上から、ログイン制限の設定・解除が可能です。
 メールによる通知を利用し、ログインせずに設定、解除を行う方法ということです。
 SBI証券の場合は、投資信託の積立設定には影響はなく、積み立ては実行されるそうです。

 いずれの場合も、ロックの解除方法がやや甘く、セキュリティ面で不安であるのではないか、などの声もありますが。
 あくまで、緊急時の対応のためのものとも聞きますので、ロックをしたとしてもこれで安心と考えずに、できる対策はあれこれ行っておくべきと思います。


最後に

 色々書きましたが、やはり、ユーザーサイドでできることは、各サイトにおけるセキュリティ設定も必要ですが、何よりもパスワードの管理が基本ということになると思います。
 その意味では、各証券会社がログインに際してパスキーを導入してくれると良いのに、と思います。
 もっとも、パスキーに対応してもパスワードレスにできなければ、不正ログインの危険はあるのですが。

 パスキーについては、こちらの過去記事を参照ください。
 パスキーの簡単な説明、Amazonでの設定の実例などを紹介しています。

Amazonでパスキーを設定してみた けれど...
Amazonでパスキーが利用できるということで早速設定。実際に使ってみた感想。果たして安全、便利と言えるのか。今ひとつなところを解説します。
naniyablog.com
2023.10.21

 また、多くの証券会社において、取引する際に「取引用のパスワード」など「あらかじめ登録してある」ものを利用する方法をとっています。
 これに対して多くの銀行では、取引の際、ワンタイムパスワードやアプリでの認証などその都度やりとりする漏洩の危険が少ないものを使用しています。
 証券会社もこのような形にすればセキュリティが上がるのにとも思います。

 ただ、証券会社の方も頑張ってくれているようで、例えば楽天証券やSBI証券では、これまで弱点とされていた、アプリからウェブサイトへの遷移による不正アクセス(不正に入手したID、パスワードを使ってアプリにログイン、そこからウェブサイトに遷移して好き放題する)について、セキュリティを強化しています。

 少なくとも、証券会社が注意喚起しているセキュリティ設定は必ず行うようにしましょう。
 例えば、SBI証券なら、ユーザーの利用状況がどうであれ、デバイス認証とFIDO認証の両方を設定しないと不正防止の効果は期待できません。(詳しくはSBI証券のセキュリティに関するページをご覧ください)

(2025.4.13) 楽天証券については、スマホのアプリからウェブサイトに遷移する際にも2段階認証を求められるように改善がなされていました。
 スマホのアプリにはIDとパスワードのみでログインできるので、アプリでできる操作は悪用される危険はある(ですので被害を防ぐことはできません)が、ウェブサイトに入られて好き放題される危険は減ったと思います。
 いずれにしても証券会社の方も日々頑張ってるんだと思いました。さらなる対策を期待したいです。

(2025.5.8)と思っていましたが、楽天証券の2段階認証は「ざる」と言われているようです。と言うのも、何度認証に失敗してもロックされないとのこと。つまり、トライ&エラーを繰り返せば最悪90回目には突破されるということです。早晩改善されると期待しますが…。

 また、有名な投資家のテスタさん楽天証券二段階認証を設定していたにもかかわらず口座を乗っ取られた旨情報発信されていました(SNS、ネットニュースでも話題になっていました)。こちらは旧バージョンのアプリが侵入経路ではないかということですが、いずれにしても証券会社のセキュリティ設定をしているからと言って安心しないことが重要だと思います。

(2025.4.26)SBI証券は、これまでFIDO認証に対応していなかった「米国株アプリ」をアップデートし対応しました。これにより、これまで「穴」とされていた「米国株アプリ」からウェブサイトへの侵入を防ぐことができます。(SBI証券のお知らせ

(2025.5.2)SBI証券は、IDとパスワードだけでログインできる状態にあった「バックアップサイト」(メインサイトに不具合があった場合に利用できる予備のサイト)を5月2日付けで閉鎖すると発表しました。(SBI証券のお知らせ
 当初は5月30日に閉鎖予定していたのを前倒しした形ですが、5月30日まで放置するなんて何を考えているのかと私も思いましたし、多くの声があったのでしょう、早急に閉鎖することにしたようです。正しいというか当然の判断だと思います。

 繰り返しますが、証券会社のセキュリティ設定をしたから安全と思わず、また証券会社が対応してくれるだろうと安心せず(できる限りのことはお願いしたいですが)、自分のID、パスワード、そして資産は自分で守るということを心がけることが必要かなと思います。

スポンサーリンク

コメント

タイトルとURLをコピーしました