証券口座の乗っ取り被害が急増中！主な原因と今すぐできる対策とは？

皆さんご存じの通り、2025年4月以降、日本国内で証券口座の不正アクセス被害が急増しています。
被害の多くは、知らない間に資産が勝手に売却されたり、別の口座に送金されたりする深刻なものです。

本記事では、乗っ取りの背景にある主な原因と、個人でできる効果的な防衛策を具体的に解説します。

証券口座の乗っ取り被害の現状
証券口座が乗っ取られる主な原因とは？
証券口座の安全を守るために今すぐできる対策
まとめ：防ぐのはあなた次第。資産防衛は「習慣化」がカギ

証券口座の乗っ取り被害の現状

2025年4月下旬以降、SBI証券・楽天証券・マネックス証券などの主要証券会社で、利用者の口座が第三者に不正アクセスされ、資金を奪われる被害が報告されています。

たとえば、以下のような報道があります。

朝日新聞の報道では、「証券口座が不正アクセスで乗っ取られ、株を勝手に売買される被害が急増しています。過去に例を見ない手口で、NISA口座も標的になっています。」と紹介されています。
出典：証券口座乗っ取りの最新ニュース
（https://www.asahi.com/topics/AP-b1c0745d-8d1c-4807-b174-49ee24181e10/）

※状況は日々変化しますし、現状をお知らせするのがこの記事の目的ではないため、最新の状況は「証券口座乗っ取り」などで検索してみてください。

証券口座は預金よりも高額な資産を保有していることが多く、攻撃者にとって格好のターゲットとなっています。

証券口座が乗っ取られる主な原因とは？

1. パスワードの使い回し・漏洩

最も多いのは、「他のサービスで流出したアカウント・パスワードが使い回されていた」ケースです。
情報漏洩は以下のような場面で発生しています。

SNSやショッピングサイトでの情報流出
過去にハッキングされたサイトでの登録
フィッシング詐欺による入力ミス誘導

漏洩データは「ダークウェブ」で売買されており、攻撃者は「クレデンシャル・スタッフィング」と呼ばれる自動ログイン攻撃で照合を試みます。

🧠クレデンシャル・スタッフィングとは、他のサービスから流出した「アカウント（メールアドレスやユーザー名）」と「パスワード」の組み合わせを使って、別のサービスに自動的にログインを試みる攻撃手法です。

2. フィッシング詐欺による情報搾取

金融機関を装った偽メールや偽SMSから誘導されるケースも多発しています。

「口座が凍結されました」「本人確認が必要です」といったメッセージ
偽のログインページに誘導され、アカウント・パスワードを入力してしまう

偽サイトは本物とそっくりな見た目をしているため、URLをしっかり確認しなければ見抜くのが難しい状況です。

今回は多要素認証をしていても不正ログインされた事例が多数報告されています。フィッシングの中でもリアルタイムフィッシングとよばれる攻撃で多要素認証で使われるコード（MFAコード）まで搾取されることがあります。

リアルタイムフィッシングについては以下に記事をまとめましたので参考にしてください。

3. スマホやPCのマルウェア感染

不審なアプリのインストール
偽のソフトウェアアップデート
フリーWi-Fiからの盗聴

こうした要因により、端末内部の情報が盗まれることがあります。
マルウェアはキーロガーやスクリーンショット収集など、証券口座への不正アクセスの準備を着々と進めます。

🧠キーロガーとは、パソコンやスマートフォンでユーザーがキーボードに入力した情報を記録・盗み取るソフトのことです。英語の「Key（キー）」と「Logger（記録するもの）」を合わせた言葉です。

4. 多要素認証の未設定

多くの証券会社では「多要素認証」が提供されていますが、任意設定にしている場合もあり、未設定のまま使っている人が多くいます。

ログインに成功されると、そのまま資金移動されるリスクが高まります。

5. 公共Wi-Fiや共有端末の使用

カフェや空港のWi-Fi、インターネットカフェなどからログインすることで、通信内容の傍受やセッションの盗用が行われるケースがあります。

🧠セッション盗用（セッションハイジャック）とは、ユーザーがログインしている間に使っている「セッションID」という情報を盗み取り、なりすましをする攻撃です。

この攻撃が成功すると、攻撃者はログインアカウントやパスワードを知らなくても、あたかも本人のようにサイトを利用できてしまいます。

証券口座の安全を守るために今すぐできる対策

では、個人レベルでどのような対策を講じれば良いのでしょうか？
ここでは「今すぐできる」「効果が高い」対策を優先して紹介します。

✅ 証券会社が勧める設定に変更する

まず最初に実施するのは、自分が利用している証券会社それぞれに関して、証券会社が推薦しているセキュリティ設定をお勧めのとおり設定してください。

私はSBI証券を利用していますが、以下のような内容が書かれています。

SBI証券の設定でユーザーが行うべきこと

メールアドレスの登録
複雑なパスワードの設定
デバイス認証・FIDO認証の設定

メールアドレスの登録やデバイス認証・FIDO認証の設定については証券会社ホームページにて登録・設定を行います。

💡多要素認証（MFA）の必須化

日本証券業協会の発表により、証券会社58社が、インターネット取引における「多要素認証（MFA）」の必須化を決定しました。
ログイン時にデバイス認証・SMS認証・アプリ認証など多要素認証(MFA)を設定が必要です
基本的に証券会社毎の指示に従って設定してください

💡多くの証券会社は「ログイン通知」、「取引通知」や「異常検知通知」などを提供しているので、併せて有効にしましょう。

また、ユーザー側で行う作業については以下の項目が書かれてます。

ソフトウェアの最新化
複雑なパスワードと多要素認証設定
不要ににクリックしない（フィッシング詐欺、マルウェア感染対策）

これらはユーザーが行う共通的なセキュリティ対策なので以下に優先度の高い順におすすめの対象方法を解説します。

✅ パスワードの見直しと管理

自分のアカウント情報やパスワードなどが漏洩していないか確認する

Have I Been Pwned（ハブ・アイ・ビーン・ポーンド）、Googleダークウェブレポート、McAfeeの問題の高度なスキャンなどで自分の情報がダークウェブに流出していないか確認する
流出していた場合、そのアカウントやパスワード情報は使用しない
その他詳細は以下の記事を参考にしてください

複雑なパスワードを作成する

金融系サービス間で同じパスワードの使い回しをしてはいけない
英数字・記号を組み合わせた12文字以上の強固なパスワードを使う
パスワードマネージャー（KeePass、1Password、Bitwardenなど）を活用する
その他詳細は以下の記事を参考にしてください

✅ フィッシングへの備え

メールやSMSで届いたURLはクリックしないようにする（フィッシング対策で最も重要！）
必ず事前に公式サイトを登録したブックマークや公式サイトを検索し確認してからログインする
不審なメールを発見したら通報・削除する
フィッシング詐欺対策は以下の記事も参考にしてください

✅ セキュリティソフトとOSの更新

Windows Defenderや有料セキュリティソフトを常駐させる
Windows・Mac・スマホのOSを常に最新版に保つ
アプリのアップデートも忘れずに
セキュリティ対策は以下の記事も参考にしてください

✅ 公共Wi-Fiや共有PCでのログイン禁止

カフェ・駅・空港などのフリーWi-Fiでは証券口座にログインしないようにする
やむを得ず使用する場合は、VPNサービスを使用する
共有端末ではログインしない。自宅端末のみを使用する
その他詳細は以下の記事を参考にしてください

まとめ：防ぐのはあなた次第。資産防衛は「習慣化」がカギ

証券口座の乗っ取りは、誰にでも起こり得る「日常的なリスク」となりつつあります。
しかし、正しい知識と対策を知っていれば、防げる可能性は非常に高いです。

最後に以下のチェックリストで自分の習慣を確認し、できていないところがあればこの記事の該当部分を是非読み直してみてください。

🔐 今すぐ確認したいセキュリティ習慣チェックリスト

✅ 多要素認証を設定している
✅ パスワードを使い回していない
✅ フィッシングを見抜く知識がある
✅ セキュリティソフトをインストールしている
✅ OSやアプリを最新に更新している
✅ フリーWi-Fiで証券口座にアクセスしていない

証券口座乗っ取り、原因と対策