トップ > 投資と資産 > 2025年版証券口座防衛策

2025年版証券口座防衛策

投資と資産 チラ裏

証券口座への不正アクセスが多すぎて怖い

 明日は我が身だと震える。。

金融庁は18日、証券会社の顧客が証券口座を不正に乗っ取られ、株を勝手に売買される事案が2月からのおよそ3カ月で6社で確認され、1454件の不正売買があったと発表した。不正な売買は合計で約954億円にのぼり、被害が拡大しているとして注意を促した。証券会社も本人確認手続きの強化など対策に乗り出している。

www.nikkei.com

 しかも、証券会社も「被害に対する保証をいつでもするとは限らない」、と約款で明記している。

(免責事項)
第52条
第1項(変更なし)
第①号、第②号(変更なし)
③ お客様ご自身が入力したか否かにか
かわらず、第11条に規定するお客様の
認証コード、ワンタイムパスワード、
追加認証コード、お問い合わせ番号
(以下、「認証コード等」)といいま
す。)の一致により当社が本人認証を行
い取引注文の申込みを受け付け、当社
が受託したうえで取引が行われた場合

楽天証券2025年3月22日総合証券取引約款の一部改定

 要するに、以下のような「免責事項」が追加れたということ。

  • ユーザーが「本人認証に必要な情報や手段」(ログインID、パスワード、ワンタイムパスワードなど)を適切に管理しなかった場合、
  • その結果、正規の手順(=本人になりすましてログイン)で取引が行われた場合、
  • 楽天証券は原則、損害賠償責任を負わない(免責される)

 今後は、ユーザー側でセキュリティ対策をしっかりやっていかないと、「自己責任」で事件は終わりになるってこと。

2025年版証券口座防衛策まとめ

 以下の①~④は必須で、やってないなら大至急で対応する必要がある。(筆者は全部やった。)

①:windowsのセキュリティを見直す

 まずはここから。PCから証券口座のサイトにログインする以上、ログイン情報等の管理が適切でも、PCから入力したところで情報を抜かれたら終わる。

www.youtube.com

②:証券口座情報を他のアプリと連携しない

 家計簿アプリに口座情報を紐づけすると、家計簿アプリの管理会社から口座へのログイン情報が漏れる可能性ができるので、これをやらないようにする。

zaitaku-tushin.com

③:ブラウザに証券口座のログイン情報を保存させない

 ブラウザの脆弱性や追加したプラグイン等でブラウザのセキュリティに穴が開くことがあるので、ブラウザに証券口座のログイン情報を保存させない。

 結局のところ、ブラウザを使って証券口座にログインするので、そのブラウザのセキュリティがガバガバだったら他の対策は意味をなさなくなる。

④:楽天証券推奨セキュリティ設定を入れる

 運営が推奨してる対策はやらない手はない。

spreadthec0ntents.com

⑤:ログイン情報を管理するだけのgoogleアカウントを作る

 以下の2つを完全に別運用すれば、たとえ証券口座に登録したGoogleアカウントが乗っ取られても、ログイン情報そのものには到達できない設計になる。

  • 「証券口座に紐づいているがログイン情報を持たないGoogleアカウント」(=証券会社に登録しているアカウント)
  • 「ログイン情報だけを持っているが証券口座に紐づかないGoogleアカウント」(=手書き画像を保存しているアカウント)

 つまり、攻撃者は「証券口座そのもの(例えば楽天証券)」と「ログイン情報の保存先(もう一つのGoogleドライブ)」の両方を同時に突破しないと実際のログインはできないわけで、セキュリティレベルは確実に上がると考えている。

 ただし、これらのアカウントを同じ端末でログイン情報を管理していると、端末が攻撃されたときに両方の情報が同時に抜かれるので、一方はPCにて、一方はスマホにて管理する。

 この辺は、どちらかは使うときだけブラウザのシークレットモードでログインするのでもいいかもしれない。

⑥:ログイン情報は手書きして画像にしてgoogleドライブに保存しておく

 ログイン情報を管理するアカウントが不正にアクセスされた場合、攻撃者はログイン情報を各種検索機能で探すと考えられる。なので、ログイン情報を文字列のまま保存していると、検索にすぐ引っかかるうえ、以下のように「アクセス先とID・パスワードをセットで管理している」と一発で特定されるリスクが高い。

楽天証券:

ログインID:hoge
パスワード:fuga

 このような形を避けるため、ログイン情報とアクセス先は分離し、さらにIDやパスワードの長さやパターンが推測されないよう手書きで保存し、文字列検索を防ぐ。
 ただし、GoogleのOCR機能により手書き文字も検索対象になる可能性はあるため、この対策も完璧ではない。もし他人には読めない「クセ字」で書ければ強いが、過信は禁物である。

対策に終わりはない

 セキュリティに「これで完璧」という到達点は存在しない。攻撃者の技術も進化し続ける以上、防衛側もそれに合わせて手を打ち続けるしかないからだ。なので、今有効な対策も、1年後には無力になっているかもしれない。だからこそ、油断せず、小さな変化にも敏感でいることが唯一の生存戦略となる。