被害事例に学ぶ、高齢者のためのデジタルリテラシー
いったい何が起きている?
驚きの証券口座乗っ取りサイバー攻撃! 株式を勝手に売買される不正アクセス被害の報告が相次ぐ
2025年4月25日 06:00
日本の大手証券会社において、ユーザーの口座で株式が勝手に売買される、という被害の報告が相次いでいます。いったい何が起きているのでしょうか?
口座から資金が引き出されるわけではなく、保有していた株式が意図せず売られ、代わりに高リスクの海外銘柄が大量に買われてしまうというもので、被害者が気付くのが遅れる傾向があります。ある男性のケースでは1500万円以上の売買が勝手に行われ、200万円以上の損失が出ました。証券口座には相当規模の資金が入っている人も多いでしょうから、大切な資産が知らぬ間に消え去り、人生を左右する大打撃につながる可能性もありますので注意が必要です。
身に覚えのないログイン履歴や突然の売買のようなことは、システムトラブルが原因で起こることもあるかもしれません。しかし、現代では、サイバー犯罪グループによる組織的な不正アクセスによるものと考えるのが妥当です。
犯罪グループは、盗んだログイン情報を使って口座に不正アクセスし、所有していた株式を勝手に売却して資金を作ったうえで、あまり聞き現れない銘柄の中国株を大量に購入したのです。多数の口座で一斉に同じ銘柄を買い付ければ株価が跳ね上がります。犯罪グループが別の口座で保有していた同じ銘柄の株式を高値で売り抜けることで、差益を稼ぐのが狙いです。
2月以降、楽天証券など証券会社6社で相次いで被害が報告されましたが、その時期には、中国株だけでなく日本の小型株にも不自然な値動きが出始めたというニュースも報じられました。中国株の買い注文を制限される事態を犯罪グループが事前に想定し、ふだんは出来高が少ない日本市場の銘柄にターゲットを切り替えて売買を行った可能性が指摘されており、実際に出来高が急増して短期間に株価が急騰と急落を繰り返していた銘柄があったそうです。今回のような証券口座への不正アクセス攻撃は、口座を乗っ取られた投資家の被害にとどまらず、流動性の低い銘柄が株価操縦に巻き込まれる深刻な影響も引き起こすのです。
こうした株価操縦を目的とした不正アクセスでは、高値で売り抜けた犯罪グループが莫大な利益を手にする一方、口座の持ち主はなじみのない銘柄を高値掴みさせられるなど痛手を負いますが、売買が完了してしまうと取り戻すのは困難で、証券会社との補償交渉がスムーズにいかない場合も多いのが現実のようです。大手証券会社の利用規約では、正規のIDとパスワードを使った取引は基本的に本人の意思とみなす扱いになっているためです。
端緒は「フィッシング詐欺」のほかに「インフォスティーラー」の可能性も?
ログイン情報を盗み取る手口としては、主にフィッシング詐欺が考えられますが、今回はそのほかに情報搾取型のマルウェア(インフォスティーラー)の可能性も指摘されています。
フィッシング詐欺では、証券会社を装った偽のメールやSMSに「取引規約変更のお知らせ」や「特別キャンペーンのお知らせ」などと記載し、偽のサイトのログインページへ巧みに誘導します。ユーザーが普段使っているIDやパスワードを入力してしまうと、その情報はそのまま犯行グループの手に渡る仕組みになっています。こうしたフィッシングサイトは、最近では本物そっくりのデザインが当たり前になってきており、ITに詳しくても見破るのは困難です。
対策としては、まず、証券会社からのメールやSMSが届いても、本文に書かれたリンクを不用意に開かないことが重要です。ログインが必要なときは、公式アプリや、自分でブックマークしたURL、あるいは検索エンジン経由で正規のサイトにアクセスしましょう。特に「至急確認」や「重要なお知らせ」などと書かれた連絡ほど、焦ってリンクを開きやすいので注意が必要です。
IDやパスワードの入力画面が表示されたら、そのぺージのURLが正規のサイトのものかチェックする癖をつけ、少しでも違和感があれば一度ぺージを閉じるくらいの慎重さを持ったほうがよいでしょう。
パスワードは推測されにくい文字列にし、他のサービスと使い回さないことも重要です。複数のサービスで同じパスワードを使い回すと、どこか1つのサービスからの情報流出事故であっても、他のサービスにも不正アクセスされてしまうからです。
また、証券会社が提供している「多要素認証」は必ず利用しましょう。端末認証やワンタイムパスワードを併せて使用する設定にしておくことで、仮にIDとパスワードが漏れても被害を受けるリスクはかなり下がります。面倒だからといってパスワードだけで認証していると、リスクが爆上がりするので注意してください。
一方、今回可能性が指摘されているインフォスティーラーは、PCやスマートフォンにマルウェアを感染させ、端末に打ち込まれた情報を直接盗み出す手口です。不審なアプリをインストールしたり、メールの添付ファイルを開いたりすることでマルウェアに感染し、証券会社へのログインパスワードやセキュリティコードをまるごと盗み取られてしまうのです。
対策としては、まず大前提として、出所が不明なアプリのインストールや、見知らぬ送信者からのメール添付ファイルを安易に開くことは避けましょう。こうした基本的な注意点を守るだけでも、多くのリスクを減らすことができます。
さらに効果的なマルウェア対策として、お使いのパソコンやスマートフォンのOSは必ず定期的に更新してください。「あとで」と先延ばしにしがちな更新通知ですが、多くの場合、重要なセキュリティの脆弱性を修正する内容が含まれています。同様に、日常的に使用するアプリも最新版にアップデートすることで、既知の脆弱性を悪用した攻撃を防ぐことができます。
信頼できるセキュリティ対策アプリを導入してもいいでしょう。デジタルに詳しくない人でも、常に最新の状態に保つことで、日々進化するサイバー攻撃に対する防御力を維持できます。
証券口座への不正アクセスによる被害は金額的に大きな問題となる一方で、犯罪グループの本拠地が海外であることが多く、捜査当局の手が及びにくく、多くの投資家が泣き寝入りせざるを得ない状況に陥りやすいのが実情です。
今回の事件を受け、証券会社側でも監視システムを強化し、不自然な大口取引や短時間での連続売買を発見すると一時的に取引制限をかけるなどの対応を進めています。一部、中国株や香港株の注文受付を一時停止した例もあります。しかし前述のように、犯罪グループが日本の小型株にもターゲットを切り替えるなど、犯罪者が一歩先を行くかたちで不正行為を広げるケースがあとを絶ちません。警察や金融庁、証券取引等監視委員会なども連携し、海外拠点の犯罪グループの摘発や補償問題の協議を進めていますが、国境を越える犯罪の捜査は難航することが多く、早期解決に向けた決定打はまだ見えていません。
大切な資産を守るためにも、投資する人は自らリテラシーを高め、怪しいメールやSNSの誘導を回避するスキルが必須です。最新の注意喚起や犯行手口についての情報にも常にアンテナを張っておきましょう。また、家族や職場の仲間にもフィッシング詐欺やマルウェアの危険性を共有し、高齢者や初心者が不正アクセスの餌食にならないよう周囲がサポートする取り組みも欠かせません。もし怪しい動きがあれば、すぐ証券会社や警察に相談してください。
「被害事例に学ぶ、高齢者のためのデジタルリテラシー」の注目記事
- みちょぱ、団長安田、ゴリけん…タレントが相次いで詐欺被害を告白、その手口とは
- チェーンメールで有名だった「神の手雲」が15年ぶりにLINEで回ってきた
- マイナポイント第2弾に便乗、「獲得したポイント2万円分が失効する」という詐欺メールが拡散中
- 注文した覚えはないのに? Amazonから代引き商品が送りつけられる詐欺に注意
- キャッシュカード&暗証番号を渡さなくても口座のお金が盗まれることも。自称「警察」から口座開設を求められたら要注意
- 「電話料金の未納があります」、フィリピンからNTTファイナンスをかたる怪しい国際電話がかかってきた
- Facebookで明石家さんまさん、大坂なおみさんなど著名人の写真を悪用したネット詐欺が横行中
- URLが本物そっくりな詐欺サイトに注意! 「ホモグラフ攻撃」などの手法を知っておこう
- ノブコブ吉村さんも遭遇、「PCのカメラからシャッター音! 何か撮影された!?」と驚かせる手口とは?
- SMSで不在通知が届いてもURLはクリック禁止! 偽宅配詐欺に要注意
- そのほかの詐欺事例など、この連載の記事一覧はこちら
高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。
※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと