毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2025年5月15日
- タイトル:証券会社のアカウント乗っ取りについて
- スピーカー:DataSign(データサイン) 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
証券口座への不正アクセス・不正取引が急増
金融庁は2025年4月3日、証券会社のインターネット取引サービスへの不正アクセス・不正取引の被害を防止する注意喚起を公式サイトで発表しました(2025年6月5日に更新)。大手証券やネット証券が会員登録する日本証券業協会のサイトでも同月18日、同様の注意喚起がなされています。
金融庁の注意喚起によると2025年1月から5月にかけて、証券会社のインターネット取引サービスを利用するために必要なログインIDやパスワードなどの顧客情報を窃取して本人になりすまし、取引口座に不正にアクセスする、または取引口座を勝手に操作するなどの被害が急増。金融庁が把握しているだけでも不正アクセス件数はこの間で1万件を超えています。
また日本経済新聞は2025年5月13日、犯罪集団が不正アクセスした口座を使って株価を動かし、利益を上げている可能性があると報じました。
被害に遭わないための対策は
不正取引の態様はさまざまですが、「多くの場合、不正行為者が不正アクセスによって被害口座を勝手に操作して口座内の株式等を売却し、その売却代金で国内外の小型株等を買い付けるというもの」と金融庁のサイトには記されています。
「一例ですが、犯罪者が他人の証券口座に不正アクセスした後、別に確保した出金用の証券口座で出来高の少ない低位株を購入し、高値で売り注文を出します。そして、同じ犯罪者が不正アクセスした証券口座を使ってその株を提示された額で買い付けます。取引成立後、売却益を銀行口座に出金して持ち逃げする手口が知られています」(データサイン 代表取締役社長 太田祐一)
他人のインターネット口座に不正アクセスするのに用いるIDとパスワードは、実在する証券会社を装った偽サイト、偽アプリ(フィッシングアプリ)、マルウェア(ウイルスなど)から盗まれるケースが指摘されています。
投資家がこのような被害に遭わないための対策として金融庁と日本証券業協会は、当該証券会社からワンタイムパスワードなど2つ以上の要素を組み合わせる多要素認証が提供されている場合にはその設定を行うこと、併せて、証券会社の公式サイトをあらかじめブックマークし、そこからアクセスする(メールやショートメッセージなどに表示されているリンクを使わない)ことを強調しています。
対策の甘さがウェブスキミングの標的に
しかしながら、対策はそれらで十分とはいえません。
ウェブブラウザに備わった開発者ツールを用いてウェブページのソースコードをご覧になると、外部サーバーが提供するJavaScriptライブラリなどを含め、さまざまな情報が表示されます。
「適切な設定がなされておらず、不正アクセスに用いられるセッションIDやCookieなどの情報が第三者から丸見えになっているページやウェブフォームがしばしば見受けられます。こうしたサイトは犯罪者にとって格好のターゲットになります。サイトの運営者や開発者はそれらを隠す対策などが急務です」(太田)
特に近年、ウェブフォームからクレジットカード番号などの情報を盗み取る「ウェブスキミング」と呼ばれるサイバー犯罪があります。これもJavaScriptを悪用した手口ですが、サイトの運営者も利用者も犯行に気づくのが非常に難しいことが特徴です。
広告効果の測定やよりよいサービス提供の一環で各種JavaScriptをウェブサーバーに配置することは一般的ですが、脇が甘いと第三者の思う壺にはまるリスクがあることは肝に銘じてください。
