1~2月にテスト攻撃が行われ、3月に攻撃が本格化した
オンラインの証券口座に不正ログインして不正に株の売買を行う、証券口座の乗っ取り事件の拡大が止まっていません。今年に入り、5月末までに不正アクセス件数は1万件を超え、被害総額は5,000億円を突破しました。このまま被害の拡大が続くのか、それとも対策が進んで解消に向かうのか。
これまでの経緯と現状、そして被害拡大防止の展望について解説します。
○1~2月にテスト攻撃が行われ、3月に攻撃が本格化した
いま話題になっている証券口座乗っ取りの被害は、2025年に入って報告されるようになりました。どうやら1月の半ばごろに楽天証券をターゲットにしたフィッシングメールが出回りはじめたようで、SNSなどでは「アカウントにリスク取引の可能性が確認された」といったタイトルでフィッシングメールが送られてきたという報告が確認できます。
その時点ではまだ報告数は多くなかったと思われますが、楽天証券には情報が届いていたようで、2月5日付けで「【重要】2月5日 楽天証券を装う不審な電子メールにご注意ください」とのお知らせがサイトに掲載されています。
なお、フィッシング詐欺対策協議会が3月17日に発表した2月末までの月次報告では特に証券会社を狙ったフィッシングメールについては触れられていませんので、この段階で同協議会は事態を把握していなかったようです。
その後、3月21日に楽天証券が、不正取引が多発しているとの注意喚起を発表。3月25日には「フィッシング詐欺などによる不正取引発生を受けた当社の取り組みとセキュリティ強化のお願い」というお知らせも出ています。
そしてフィッシング詐欺対策協議会の3月末時点でのレポートに、フィッシングメールの被害ブランドとして初めて「証券系」が現れ、フィッシングメールが「急増」とされました。
これらの状況から、1~2月にかけてテスト的な攻撃が行われ、それが成功したことから3月になって本格的な攻撃が急激に増加したのではないかと推測できます。2月まではフィッシングメールだと気付かない人が多くて報告がされなかったけれど、報道などで知って報告が増えた……という可能性もありますが、今回のケースで実際に攻撃が急増したのは3月からとみてよいでしょう。
フィッシング詐欺の新たな“ビジネスモデル”が確立された?
○フィッシング詐欺の新たな“ビジネスモデル”が確立された?フィッシング詐欺は、被害者が被害に気付きにくいという特徴があります。メールなどのリンクをクリックしてサイトにアクセスしたということは、その時点で偽物だとは気付いておらず、IDとパスワードを入力してしまっているということだからです。
IDとパスワードの入力後も、別に「フィッシング詐欺に引っかかった」ことを示す兆候はなく、本物サイトにリダイレクトされます。
本人はいつも通りサイトにアクセスしている認識なので、被害に遭っている認識自体がないのです。その後、しばらくしてから実際の不正被害に遭遇しても、それがフィッシングの被害とは気付けません。
そのため、「フィッシングには引っかかっていないはずなので、なにか別の原因がある」と考えてしまいがちですが、実際はフィッシングの被害に遭っている人が多いのが実情です。それだけ昨今のフィッシングメールは偽物だとは気付きにくく、誰しも引っかかる可能性は高いものになっています。問題は、「それでも不正ログインされないような対策」がされていたかどうかです。
フィッシング詐欺以外ではブラウザの認証情報を盗む「インフォスティーラー」と呼ばれるマルウェアの攻撃も同時に発生しています。こちらは数年前から問題となっており、2024年にはSnowflakeのアカウント盗難事件で話題となったものです。
証券口座乗っ取りにおいても、こういった攻撃によって漏洩した認証情報が悪用された可能性はあります。だとしても、今年に入って証券口座を狙ったインフォスティーラーの攻撃が激化したのか、それ以前から盗まれていてダークウェブ上にあったIDとパスワードが新たに悪用され始めたのかは不明です。
こうしたマルウェアは、セキュリティソフトにまったく引っかからないという類のものではありませんが、様々な亜種もあって長く継続した被害が出ているようです。加えて、別の理由で漏洩したIDとパスワードを使い回ししていて、リスト型攻撃に遭遇した可能性もゼロではありません。
要するに、こうした様々な攻撃で一斉に日本の証券口座が狙われたのではないか、というのが今回の乗っ取り事件です。
その背景に、犯罪者が新たな「ビジネスモデル」を構築したことがあるのかもしれません。今般の事例以前の証券口座に対する攻撃として、2020年には不正送金事件がありました。これは、不正ログインした証券口座に紐付いた銀行口座を犯罪者の口座に書き換えて、株式の売却益を犯罪者の口座に引き出すというもので、SBI証券が狙われ、約1億円が不正送金されたとされています。
証券各社はこの攻撃に2段階認証の導入などで対処し、その後、攻撃は止んだようです。これは、株を売却しても証券口座の残高が増えるだけで、口座を切り替えられなくては犯罪者に利益がなかったからでしょう。ただ、「不正ログインされた」という事実はそのまま放置されてしまったようです。
そして、新たに生まれたのが「株を売って証券口座に入った代金を使って別の株を買って株価をつり上げ、犯罪者が保有する株の値上がりを待って売りさばく」という「ビジネスモデル」です。このビジネスモデルが誕生したことが、今回の事件に繋がったものと推測されます。
ワンタイムパスワードはフィッシング詐欺の完璧な対策にはならない
○ワンタイムパスワードはフィッシング詐欺の完璧な対策にはならない証券会社の対策にも課題がありました。決済・金融のサービスでは2要素認証が一般的になりましたが、証券会社ではこれが一部サービスでの利用にとどまり、ログイン時の義務化もされていませんでした。
例えば楽天証券は、ログイン時に複数の絵文字の選択画面を表示し、事前に登録したメールに送られる絵文字と一致したものを選ぶ、という追加認証を提供しています。これは、「画面に表示された複数のイラストの中に、メールで送られたイラストと同じものがあるかどうか」という認証です。
この認証方式が採用されたのは、イラストが1,000種類ほどあれば、フィッシングサイトが勝手に掲示した絵文字+数字とメールで送られた絵文字+数字が一致する確率はとても低いため、フィッシングサイトに騙されにくくなる……という意図があったのでしょうか(選択できる絵文字がなければ、その時点でフィッシングサイトと判断してアクセスを取りやめることができる)。
しかし偽物サイトに「同じ絵文字がなければ再読み込みボタンを押す」のようなメッセージが表示されたら、同じ絵文字が出るまで再読み込みをする人も出てくるかもしれません(それで攻撃が成功する確率も低そうですが)。筆者は技術検証まではしていませんが、後述するリアルタイムフィッシングと同じように公式の画面表示を中継することでも攻撃ができそうです。
いずれにせよ、絵文字入力になった時点で、フィッシングサイトであればすでにIDとパスワードが盗まれているので、わざわざ普通のワンタイムパスワード(TOTP)とは異なる絵文字認証を導入する理由はあまりないように思えます。
他の証券会社もさほど変わらず、ようやくTOTPの2要素認証を導入し始めているという程度です。これは、ログイン時などにIDとパスワードを入力させた上で、さらに追加の認証として、あらかじめ登録したメールアドレスや携帯番号にメッセージを送信し、そこに記載された6~8ケタの数字をサイトに入力させるというものです。
TOTPはさまざまなサービスで広く使われています。今回の乗っ取り攻撃においても、ログイン時や取引時にTOTPを設定していれば、不正取引の多くを防げていたかもしれません。ただ、2要素認証の導入を決めた証券会社もまだ全てが導入完了したわけではなく、利用者の中には(2要素認証が導入されているにもかかわらず)いまだに設定をしていないので被害に遭ってしまったという人もいそうです。
ただ、証券各社が導入しようとしているTOTPによる2要素認証は、フィッシング詐欺に関しては脆弱さが残る仕組みです。例えばサイトでIDとパスワードを入力したうえで、メールやSMSで送られてきた数字をそのままサイトに入力したとしても、入力したのがフィッシングサイトである可能性があります。
これはリアルタイムフィッシングと呼ばれる手法で、偽サイトに入力されたTOTPを犯罪者が盗んで正規サイトにその数字などを入力し、即座に不正ログインするわけです。
このリアルタイムフィッシングの手法が登場したことで、TOTPは厳密に言うとフィッシング詐欺の対策にはならなくなりました。
どちらかというとTOTPはリスト型攻撃のようにパスワードが漏洩している場合に有効な対策で、全ての攻撃を防げるわけではないのです。
「取引パスワード」のように入力欄を増やしても一緒です。フィッシングサイトに入力欄を増やして、その入力データを盗み取った上でそのまま本物のサイトに送信すれば、本物サイトでは正しいパスワードが入力したと判断されてログインや取引ができてしまうからです。
ブラウザに内蔵されていたりサードパーティーから提供されていたりするパスワードマネージャーは、通常はサイトのURLを記憶しておき、同じURLであればそこに保存されているパスワードを自動入力するという機能を備えています。つまり、フィッシングサイトのように見た目は同じだけどURLが異なるという偽サイトでは、自動入力が動作しません。そこで自動入力がされなければフィッシングサイトだと分かるわけです。
パスワードマネージャーの自動入力を使っていない人は、フィッシング詐欺に引っかかっていないとは言い切れないし、引っかかっていてもおかしくない、そう考えて対策した方がいいでしょう。
逆に言えば、パスワードマネージャーの自動入力に対応しない公式サイトはフィッシングサイトに対して脆弱で、ユーザーを危険にさらしていることになります。
実のところ、確実にパスワードマネージャーを使っているならば、フィッシング詐欺対策としての2要素認証は必ずしも必要ありません。ただ、フィッシング以外の攻撃がありうるので、やはり2要素認証が利用できるにこしたことはありません。
パスワードマネージャーの自動入力をした上で、送られてきたTOTPをそのまま入力するなら、比較的安全にログインできます。
ここでもう一つの問題があります。
それはTOTPはUI/UXとしてあまり使い勝手が良くないという点。課題の1つに、TOTPがいつでも即時送られてくるわけではないという点があり、いざログインしようとして数分間待たされることがあります。そうでなくても、メールやSMSに切り替えて数字を覚えて(コピーして)、また入力欄に戻って入力するというのは手間がかかります。
アプリベースのTOTPもあります。これは専用の認証アプリを使い、一定時間で切り替わる数字を入力することでログインします。送信を待つ必要がないため、自分のタイミングで入力できますが、リアルタイムフィッシングへの弱点は変わりません。スマートフォンアプリを立ち上げて数字を覚えるかコピーして、ログイン画面に戻って入力するという手間もあります。
パスキー+マイナンバーカード機能のスマートフォン搭載で安心安全
○パスキー+マイナンバーカード機能のスマートフォン搭載で安心安全そうした手間もなく、フィッシングに強くてリスト型攻撃の対策にもなる認証方法がパスキーです。パスキーは生体認証を活用した認証技術で、FIDO認証と呼ばれる技術の進化版といっていいでしょう。ログイン時に指紋や顔の生体認証を使うことで2要素認証として成立するので、TOTPの入力が不要になります。そもそもパスワードすら不要になる、パスワードレスの技術です。
パスワードマネージャーのようにあらかじめ記録したURLでないと生体認証の画面が表示されないので、偽URLにログインするようなフィッシング詐欺の対策ができます。
パスワードでのログインを廃止すれば、パスワード漏洩やリスト型攻撃による不正ログインも発生しなくなります。
技術的には「スマートフォンアプリに生体認証でログインする」というのとは別物で、スマートフォンアプリ、スマートフォンのサイト、PCのブラウザ、PCのソフトウェアのいずれでも生体認証を使ったログインができます。1端末だけでしかログインできないデバイス固定パスキーと、複数デバイスでログインできる同期パスキーがあり、同期パスキーならPC/スマートフォン/タブレットといった複数端末で同じ生体認証を使ったログインも可能です。
海外の状況を見ると、セキュリティを重視するサービスでは「同期パスキー対応だが3台まで」のような制限を設定している例もあるようです。国内の証券会社では、今のところ正確な意味でパスキーを導入している会社はなさそうです。
SBI証券は一部FIDO認証を導入していますが、WebAuthnに対応していないようで、PCのブラウザからパスキーを使ったログインはできません。あくまで「FIDO認証」ということでしょう。
パスキーが真価を発揮するのはすべてのログインでパスキーに対応して、パスワードでのログインを禁止してパスワードレスにした状態です。この状態では、少なくともフィッシングやパスワード漏洩、リスト型攻撃による不正ログインを防止できます。
サービス提供者側にとっては、多大なコストとなっている「パスワード忘れの問い合わせ対応」もなくなります。今回のような認証情報の漏洩によるコスト負担も避けられます。何しろ今回は、5,000億円を超える被害が発生しており、大手証券/ネット証券10社の申し合わせによれば、多額の補償が発生する可能性もあります。証券各社にとっては手痛い勉強代となるはずです。
パスキー導入の当初は、パスキーの使い方や機種変更などのやり方の問い合わせが増えるでしょう。もちろん、導入コストやランニングコストも発生します。TOTPでのSMS送信も無料ではありませんが、最終的にどちらのコストの方が高いのかは会社によって異なるかもしれません。他事業でも同様のコスト比較はされていますが、たとえばパスキーを導入しているドコモは、パスワード関連の問い合わせが減ったメリットのほうが大きいと判断しているようです。
金融機関はセキュリティを気にして1台のみのログインにこだわる傾向がありますが、個人的には、PC/スマートフォンに予備のもう一台の端末を加え、3台までログインできる同期パスキーというのが利便性とのバランスも取れていると感じます。
パスキーはTOTPのように送信されるメールやSMSを待つ必要はありませんし、認証アプリのように別アプリを使う必要もありません。ログイン時に生体認証をするだけなので、簡単に、スピーディに、安全にログインできます。
いわゆるトレーダーの方などには、相場の変動で即座に売買したいというニーズがあるようです。そうした人にとってはTOTPが送られてくるのを待っていられないので、TOTPを利用する設定をしておらず、その結果として不正取引の被害を受けることになってしまったという人がいたかもしれません。そうした意味では、パスキーでは多少の通信時間が発生するとはいえ生体認証一発でログインできるため、最も高速な2要素認証を使ったログインといえます。
証券各社には早急に被害を食い止めるための対策が求められているので、すぐにできるTOTPによる2要素認証に取り組んでいるのでしょうが、最終的にはパスキーの導入を図るべきだと考えます。
6月24日からは、iPhoneにもマイナンバーカード機能が搭載される予定で、スマートフォン1つで手軽に当人認証と身元確認ができるようになります。これを併用すれば、あらかじめスマートフォン内のマイナンバーカード機能を使ってアカウントを作成し、パスキーを発行。普段はパスキーを使い、機種変更などが生じてもマイナンバーカード機能を使えば確実に本人確認してパスキーの再発行ができます。こうなれば物理的なマイナンバーカードは不要。6月末以降は、この仕組みがiPhoneでもAndroidでも使えます。
金融系でいうと、三菱UFJ銀行や住信SBIネット銀行などがFIDO認証に対応済み。証券系でもウェルスナビがFIDO認証への対応を表明しています。今後、金融機関でもパスキーが常識になり、スマートフォンに搭載されたマイナンバーカード機能と併用すれば、より安全に、より使いやすく、より素早いログインが可能になるはずです。
これを一過性のトラブルだと考えず、証券各社にはセキュリティと利便性の両立を目指して取り組みを継続させてほしいものです。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)