サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

【緊急警告】証券口座乗っ取り被害拡大中!フィッシング詐欺から資産を守る方法

セキュリティニュース

証券会社の口座乗っ取り被害が拡大中

近年、オンライン証券の普及に伴い、投資家を狙ったサイバー犯罪が急増しています。特に最近では、野村証券やSMBC日興証券、マネックス証券など大手証券会社の顧客を標的としたフィッシング詐欺による口座乗っ取り被害が相次いで報告されています。以前も証券会社の口座の記事を扱いましたが、その後も被害が拡大しているので、もう一度記事にしたいと思います。

これらの事案では、犯罪者が証券会社を装った偽メールを送信し、フィッシングサイトへ誘導することで、顧客の口座番号やパスワードなどの認証情報を窃取しています。さらに深刻なのは、盗み取った情報を使って実際に顧客の保有する有価証券の売買が行われるという二次被害まで発生していることです。

被害は楽天証券やSBI証券から始まり、3月下旬には楽天証券が中国株や香港株計500以上の銘柄を対象に買い注文の受け付けを一時停止する事態にまで発展しました。また、この時期から市場では低位株の不自然な乱高下が観測され、これらの不正取引との関連性が指摘されています。

日本取引所グループ(JPX)も事態を重く見て、投資家に対してフィッシング詐欺やマルウェアについての注意喚起を行っています。この状況は、単なる個別の事件ではなく、日本の証券市場全体に対する組織的なサイバー攻撃と見るべきでしょう。

フィッシング詐欺の手口と見分け方

今回の証券口座乗っ取り事件で使われているフィッシング詐欺の手口は、非常に巧妙になっています。典型的な手口としては以下のようなものが挙げられます:

  1. 公式を装ったメール送信: 証券会社の公式ロゴやフォーマットを模倣したメールを送信し、「セキュリティ強化のためのパスワード更新」や「不審なログインがあった」などと警告します。

  2. 緊急性の演出: 「24時間以内に対応しないと口座が凍結される」などと焦らせることで、冷静な判断を妨げます。

  3. 精巧な偽サイト: リンク先は本物の証券会社のサイトと見分けがつかないほど精巧に作られており、URLも一見すると似たようなドメインを使用しています。

これらのフィッシングメールや偽サイトを見分けるポイントとしては:

  • メールアドレスのドメイン部分(@の後ろ)が公式のものと異なっていないか
  • URLが「https://」で始まっているか、かつ正しいドメイン名か
  • 日本語の表現や文法に不自然さがないか
  • 個人情報の入力を急かしていないか

などをチェックすることが重要です。特に、証券会社が公式メールでパスワードの入力を求めることはほとんどありません。少しでも怪しいと感じたら、メール内のリンクをクリックせず、ブラウザから直接証券会社の公式サイトにアクセスするか、電話で問い合わせることをお勧めします。

証券口座を守るための具体的対策

自分の資産を守るためには、以下の対策を早急に実施することをお勧めします:

1. 多要素認証(MFA)の設定

多くの証券会社では、パスワードに加えてスマートフォンのアプリやSMSによる認証コードを利用した多要素認証を提供しています。これを設定することで、たとえパスワードが漏洩しても、第三者が勝手にログインすることを防止できます。可能な限り早急に設定することをお勧めします。

2. パスワードの強化と定期変更

  • 12文字以上の長さで、大文字、小文字、数字、記号を組み合わせた強力なパスワードを使用する
  • 他のサービスと同じパスワードを使い回さない
  • 定期的に(少なくとも3ヶ月に1回)パスワードを変更する
  • パスワード管理ツールを利用して、複雑なパスワードを安全に管理する

3. 不審な取引の監視

  • 証券口座の取引履歴を定期的に確認する
  • スマートフォンアプリの通知設定を有効にし、取引が発生した際に即時通知を受け取る
  • 身に覚えのない取引や問い合わせがあった場合は、すぐに証券会社に連絡する

4. 安全なアクセス環境の確保

  • 公共のWi-Fiや共有パソコンからの証券口座へのアクセスを避ける
  • スマートフォンやパソコンのセキュリティソフトを最新の状態に保つ
  • OSやブラウザも常に最新版にアップデートする

被害に遭ってしまった場合の対応

万が一、不正アクセスや不審な取引に気づいた場合は、以下の手順で対応することが重要です:

  1. 即座に証券会社に連絡: 24時間対応のコールセンターに連絡し、状況を説明して口座の一時凍結を依頼します。

  2. パスワードの変更: 可能であれば、別のデバイスから公式サイトにアクセスし、パスワードを変更します。

  3. 警察への被害届: 最寄りの警察署に被害届を提出します。サイバー犯罪に関しては警視庁のサイバー犯罪相談窓口も利用できます。

  4. 関連するアカウントの確認: 同じパスワードを使用している他のサービスがあれば、それらのパスワードも変更します。

  5. デバイスのセキュリティチェック: 使用しているパソコンやスマートフォンがマルウェアに感染していないか、セキュリティソフトでスキャンします。

まとめ

証券会社各社も被害拡大を防ぐために対策を強化していますが、最終的に自分の資産を守るのは投資家自身です。「怪しいと思ったらクリックしない」「公式サイトには直接アクセスする」という基本的な注意を徹底することが何よりも重要です。

今回の事件は、デジタル化が進む金融サービスにおいて、セキュリティ意識の向上がいかに重要かを改めて示しています。投資家の皆さんには、この機会に自分の証券口座のセキュリティ設定を見直し、必要な対策を講じることをお勧めします。

説明

Japan Cyber Security Inc. All Rights Reserved.