乗っ取り被害はサイバー犯罪として最大規模に
手口は「サイバー」相場操縦
新ガイドライン「フィッシング耐性のある認証」とは？
「DMARCなどの送信ドメイン認証」とは？
業界ならではの特徴と慣行、今後のセキュリティ対策

乗っ取り被害はサイバー犯罪として最大規模に, 手口は「サイバー」相場操縦, 新ガイドライン「フィッシング耐性のある認証」とは？, 「DMARCなどの送信ドメイン認証」とは？, 業界ならではの特徴と慣行、今後のセキュリティ対策

8月に発表された最新のデータでは、不正アクセス件数と不正取引件数は6月に比べて7月のほうが減少しているが、売却金額は6月約221億円、7月約243億円と被害金額は微増している（写真：編集部撮影）

2025年の初めから、オンライン証券口座を乗っ取られ、その口座にあった株式などを売却されたうえに、名前を聞いたこともない株式が買われていたという事案が次々に起きている。

【8月に発表された最新のデータ】不正アクセス件数と不正取引件数は減少しているが被害金額は微増

乗っ取り被害はサイバー犯罪として最大規模に

金融庁が発表している被害概要の表を見ると、2025年の不正ログインの件数が、1月170件、2月114件だったものが、3月2319件、4月5407件と急増している。不正取引件数は、1月95件、2月51件と、100件以下だったのに対し、3月951件、4月2970件と、こちらも急増している。

問題はその金額だ。持ち株を売って、聞いたこともないような株を買うという手口の特性上、売却金額が被害額の最大値となるのだが、1月約2億円、2月約9000万円と、それほどは大きくなかったのが、3月約168億円、4月約1556億円と、急増している。

ちなみに、売却金額は、2025年1月～6月までの半年間で約3000億円となっている。これは日本の一般人向けの不正アクセス被害としては最大規模のものになる。

また、8月に発表された最新のデータでは、不正アクセス件数が6月1759件、7月970件、不正取引件数は6月851件、7月818件と6月に比べて7月のほうが減少しているが、売却金額については、6月約221億円、7月243億円と、被害金額は微増している。

2025年5月には、多要素認証（MFA）の義務化などの対策が進んだことや、テレビ等のマスメディアで連日のように報道されたため、6月以降は不正取引件数が減少したが、まだまだ高い水準を保ったままだ。

証券会社への不正アクセス・不正取引被害の状況

手口は「サイバー」相場操縦

実はこの犯罪手口は、古典的な用語としては「株価操縦」の一種で、英語では「Hack, Pump And Dump」と呼ばれている。

あらかじめ取引量の少ない株式を仕入れておき、その後、不正ログインした被害者のアカウントの所有株式を売却し、それを原資として被害者のアカウントから、先ほどの株を高額の指値（さしね）で買わせる。その差額が儲けになるというものだ。

なぜこんな手の込んだことをするのか？　その理由を説明しよう。今までは、例えば「徳丸浩」名義のオンライン証券口座なら、出金先の預金口座も「徳丸浩」名義でないと引き出せず、それが一種の安全策になっていた。

それを突破するための手口であるが、過去に被害例が少なかったために証券会社業界全体に油断があったのかもしれない。

不正ログインの手法については、当初はフィッシング説とインフォスティーラー（情報を盗むタイプのウイルス）説の2つがあったが、その後の報道などから、大半がフィッシングによるものと見て間違いないだろう。

今回の不正アクセス事件を受けて、証券業界は5月頃までに二要素認証を必須にしていた。ここで、二要素認証について説明しておこう。

一般に、認証には「認証の3要素」という3つのタイプがある。まず記憶認証。これは主にパスワードのことだ。2つ目は、例えば入館証などを所持していることで証明する、所持認証。3つ目が、顔や指紋や静脈などの生体認証。これら3要素のうち2つを組み合わせたものを二要素認証と呼ぶ。

一般には、一要素より二要素の方が安全だが、今問題になっているフィッシングに関しては二要素認証でも十分ではない。多くの証券会社では、二要素目として6桁程度の数字を入力させるのだが、利用者がこの番号を偽サイトに入力してしまったら、結局破られてしまうのだ。

新ガイドライン「フィッシング耐性のある認証」とは？

先述したように二要素認証はフィッシングに対しては十分な効果はない。現実に、オンラインバンクでは二要素認証の突破例が報告されている。

そのためフィッシング耐性のある多要素認証を義務付けたというのが、7月15日に発表された日本証券業協会の新しいガイドラインだ。この中で本命視されているのがパスキーという認証方式である。

パスキーは、よく生体認証という説明がされるが、実際には暗号技術を使ったデジタルな鍵による認証である。パスキーは秘密鍵というものがPCやスマホなどに入っており、認証の際にブラウザなどがその接続先を確認してから鍵を使うのでフィッシングに強い。違うサイトにはその鍵は使われないので、被害者がパスキーで偽サイトにログインしようと思っても、そこで止められる。

パスキーの仕組み

現在、AppleやGoogleなどのビッグテックが、新しいパスワードレスの標準としてパスキーを推進していこうという流れになっており、そのためブラウザにもパスキー対応の機能が組み込まれている。

なので、利用者は新たにカードリーダー等の機器を購入しなくても、容易にパスキーを利用できる。その流れに乗る形で、今回ガイドラインにパスキーが追加された。

「DMARCなどの送信ドメイン認証」とは？

フィッシングは多くの場合、偽メールを起点とする。そのため、偽メールを見分けるためにDMARCなどの送信ドメイン認証が必須になったのだが、こちらはあまり実効性がないのではないかと筆者は考えている。

DMACは、メールの送信者のアドレスが、その表記どおりのものであるかを認証する技術である。このため、偽メールが本物のメールアドレスを詐称して送ってきた場合は、メールソフトやGmailなどのメールサービスが偽物という判定をするため有効だ。

しかし、現実のフィッシングのメールは本物のメールアドレスを詐称せず、でたらめなアドレスを用いているものも多い。DMARCは送信元のアドレスを認証するため、もともとでたらめなアドレスから送ってきたメールに対するDMARC認証は容易に通せてしまう。

被害者の多くは本物のアドレスを覚えて確認しているわけではないので、でたらめなアドレスでも被害にあってしまう。このため、DMARCではフィッシングを十分に防ぐことは難しい。

一方、仮に偽メールを信じてログインしようとしても、パスキーであればログインはできないため、そこで被害を食い止めることができる。このような理由から、パスキー対応がフィッシングには最も効果的だと考えている。

これまで説明したように、パスキーの導入はフィッシング対策として大きな効果が期待できるが課題もある。

1つには、パスキーは策定されたばかりの規格ということで開発者側が慣れておらず使いにくいサイトも見受けられること、もう1つは利用者側もパスキーに慣れていないことから、パスキー導入当初は、ある程度の混乱は起こるであろう。

業界ならではの特徴と慣行、今後のセキュリティ対策

これまで述べたように、現在被害手口の主流と考えられるフィッシングに対してはパスキーが大きな効果が期待できるが、そうなると攻撃者側も手口を変えてくるだろう。例えば、先述のインフォスティーラーが考えられる。この場合、パスキーだけでは十分な対策にはならない。

そのような未来を想定した場合に考えておきたいのが、取引に対する二経路認証だ。

これは、例えばパソコンで金融商品の売買をしたら、スマートフォンでその取引の承認をするというものである。パソコンとスマートフォンという二種類の経路で認証することから二経路認証と呼ばれる。パソコンとスマートフォンを同時にウイルス感染させることは難しいことから、安全性の強化が期待される。

しかし、証券会社は取引認証には否定的であるようだ。これは、銀行の振込などと違って証券の売買などは即時性が要求されるからであろう。

とはいえ、利用者の大半はNISA制度により年に数回取引をする程度のライトな層であることを考えると、少し煩雑でも安全性の高い認証手段を用意することは証券取引の安全性に大きく寄与すると提言しておこう。

もう10年以上前から、パスワード認証をやめてパスワードレスの認証に移行するべきだと言われ続けてきたが、現実には今でもパスワード認証が主流のままである。しかし、今般のオンライン証券口座への不正取引事件がパスワードレス認証の普及の突破口になると予想する。その意味で今回の事件は、エポックメイキングな出来事と言えるだろう。