楽天証券・SBI証券の口座乗っ取り被害:原因とハッカーの狙い
目次
2024年末から2025年にかけて、楽天証券やSBI証券をはじめとするネット証券各社で顧客口座の乗っ取り被害が相次ぎ、大きな問題となっています。第三者が不正にログインし、被害者の保有資産が勝手に売買されるケースがおおよそ1,454件発生し、被害総額は950億円超に上ったと報じられています
セキュリティに詳しい有名投資家でさえ被害に遭う事態となり、投資家の不安が広がっています
本記事では、この証券口座乗っ取り事件について、技術的な原因・ユーザー側の原因・ハッカーの狙い・公的機関や証券会社の対応策の観点から詳しく解説します。
国内証券会社ログインシステムの脆弱性
被害拡大の一因として、証券会社側の認証プロセスに残されていた弱点が指摘されています。例えば、楽天証券では2025年6月1日まで一部チャネルでログイン時の追加認証(多要素認証)が必須ではなく、IDとパスワードだけでログインできる経路が存在しました
また、証券各社では従来、二段階認証(ワンタイムパスワード等)「ユーザー任意で設定するもの」でデフォルト無効のケースも多く、銀行と比べセキュリティ対策が十分に厳格でない場合があったと指摘されています。銀行は預金保護法がありますので、ユーザの重過失が認められた場合は、被害補償がされないケースもあり、ユーザ側にもセキュリティ対策をしっかり求めています
想定外の高度なサイバー攻撃
また、証券会社側が備えていなかった高度なサイバー攻撃も使われていました。たとえば「Adversary-in-The-Middle(AiTM)」アドバーサリー・イン・ザ・ミドルと呼ばれる攻撃では、偽サイトに誘導されたユーザーがログイン情報を入力すると、その通信が乗っ取られてしまいます。この方法ではログインIDやパスワードだけでなく、二段階認証のコードまで盗まれることもあります。
さらに情報摂取型マルウェアである「インフォスティーラー」と呼ばれるマルウェアがPCに感染すると、自動保存されていたパスワードやログイン情報が盗まれる危険があります。実際、「メールのリンクを踏んだ覚えがない」という人まで被害に遭っていることから、こうしたウイルスや他のサービスから流出した情報が使われているケースもあるとみられています。インフォスティラーは厳密にいうとスパイウェアで、主に個人情報や機密情報を狙うために作られたマルウェアです
これら高度なサイバー攻撃に対して、各証券会社側のアラート検知体制やサイバー攻撃に対する防御策が追いついておらず、結果的に被害を許してしまった面があると考えられます
ユーザー側にも原因がある
フィッシング詐欺に引っ掛かった可能性
多くの人が、本物そっくりの偽メールや偽サイトに騙された可能性が高いです。攻撃者は大手証券会社などを装い、「重要なお知らせ」といった件名で不安を煽り、偽のログインページへ誘導。そこでIDやパスワードを入力すると情報が盗まれてしまいます。さらに、ワンタイムパスコードまでも盗み取る手口も確認されています。
パスワードの使い回し
複数のサービスで同じパスワードを使っていると、他で漏れた情報から芋づる式に不正ログインされる危険があります。この場合、クレジットカード情報も危険です。また、パソコンがウイルスに感染していたり、ブラウザにパスワードを保存したままだったりすることも、情報が盗まれる原因になります。
ハッカーは何のために証券会社のアカウント口座を乗っ取るのか?
今回判明した攻撃者の主な目的は、乗っ取った証券口座を利用した不正利益の獲得でした。具体的には、被害者の口座に不正アクセスした犯人は、まず被害者が保有する日本株などを勝手に売却し、その資金で特定の中国株を大量に買い付けるという手口を取っています。
攻撃者が狙うのは中国市場の低位株(いわゆるボロ株)で、乗っ取った複数の口座から同じ銘柄を一斉に買い付けすることで、一時的に株価を吊り上げるのです。その結果、事前に安値で仕込んでおいたその銘柄の株を高騰したところで売り抜け、利益を確定し収益をあげる手法が1つです
口座に入金されている現金の直接窃取
証券口座乗っ取りの目的は株式売買だけに限らず、可能であれば現金の直接奪取も狙っていると考えられます。ただ、証券口座から第三者名義の銀行口座へ直接送金することは通常できないため、ハッカーはより検知されにくい株式売買という手段を用いて資金の移動を図ったようです
個人情報・アカウント情報の転売
盗み出した証券口座のログイン情報や個人情報自体もハッカーにとっては最高の商品になります。組織的なハッカー集団は入手した大量のアカウント情報を、ディープウェブや闇サイトで売り捌いたり、他の詐欺に流用します。
特に証券口座の場合、氏名や住所に加え金融資産のデータまで紐づいているため価値が高く、今後フィッシングや詐欺の二次被害に使われる恐れもあります。加えて、楽天グループのように証券以外のサービスとも連携したアカウントであれば(楽天ID経由で他のサービスにログインできる等)、一つ情報を盗むだけで芋づる式に複数のサービスへ不正アクセスされるリスクもあります。
このように、ハッカー側の狙いは「口座から現金を奪う」「株取引で荒稼ぎする」だけでなく、盗んだ情報そのものを資産として再利用・転売する点にもあるのです
証券口座のハッキング被害補償と公的機関の対応について
当初、証券口座の不正取引はユーザーの自己責任範囲とされ補償が難しいのではとの声もありましたが、業界として異例の対応が取られました。2025年5月、日本証券業協会は「フィッシング等で盗まれたID・パスワードによる不正取引被害」について、約款上の免責規定に関わらず一定の補償を行う方針を打ち出しました
これを受け、楽天証券、SBI証券、マネックス証券、野村證券などネット証券含む大手10社が協議に参加し、顧客の被害状況に応じて個別に補償対応することを表明しています
被害額が巨額にのぼるケースもあるため全額補償となるかはケースバイケースですが、泣き寝入りを防ぐための救済措置が講じられつつあります。また警察庁や各都道府県警も捜査を本格化させており、国内外の関係機関と連携して犯行グループの追跡を進めています。さらに金融庁は証券各社に対し再発防止策の徹底を指導し、システム面・運用面双方から顧客資産の保護を強化するよう要請しています。
みなさんができるセキュリティ対策
まずはウイルス対策
WindowsおよびAndroid端末は特に狙われやすいです。まずはウイルスバスターやノートンなどのウイルス対策ソフトを導入することをお勧めします
またOSを最新にすること(windowsアップデート)と周辺ソフトの最新化が重要です。脆弱性と呼ばれる穴があるとそこからウイルスは侵入します。スマホアプリも常に更新がないか確認し最新にしておきましょう
メールやSMSのリンクは「絶対に」開かない
サイトへのアクセスはブックマーク済みの公式ページ、または正規アプリからだけにしましょう
これによって偽サイトへのアクセスを防ぐことができます。
「口座凍結のお知らせ」など焦らせる内容のメールに要注意しましょう。SMSメールを使って通知してくる情報でリンク付きの内容は危険度が高いです
パスワードを定期的に変更する
パスワードは定期的に変更しましょう。特に自分のお金(資産)関係にアクセスできるサイトだけでも変更したほうがよいです。また使いまわしはせずに違うパスワードを生成しましょう
パスワード自動生成サイトを使うのもおススメ
https://www.luft.co.jp/cgi/randam.php
二段階認証やワンタイムパスワードの設定
証券会社から進められているセキュリティ設定は必ず行ってください。2段階認証やワンタイムパスワードは設定必須です。またログイン通知もONにしておくと、自分ではないユーザが証券会社にアクセスした際に、すぐ気づくことができますので設定をお勧めします
まとめ
今回の楽天証券・SBI証券のアカウント口座乗っ取りは、ネット証券のセキュリティの甘さとサイバー攻撃の巧妙さを浮き彫りにしました。また証券会社だけでなく、利用者自身の油断やミスも被害の一因です。自分の大切な資産を守るために、「怪しいメールを開かない」「二段階認証を必ず設定」「取引履歴を定期的に確認」といった基本行動を今すぐ徹底しましょう。
