Zenn
🐰

うさぎでもわかる証券会社のセキュリティ問題

に公開
4
API
Security
金融
認証
フィッシング詐欺
tech

うさぎでもわかる証券会社のセキュリティ問題

👇️PodCast 5/7 12:00公開
https://www.youtube.com/watch?v=sn3l3mZPdr8

こんにちは、うさぎです🐰
最近、ニュースで証券会社のアカウント乗っ取り事件が話題になっていますね。なんと、著名投資家のテスタさんも被害に遭ったそうです。「うちの資産は少ないから大丈夫」なんて油断しているあなた!セキュリティ対策は全ての投資家にとって大切なことなんですよ。今日はそんな証券会社のセキュリティ問題について、分かりやすく解説していきます。

2025年証券会社アカウント乗っ取り事件の全容

2025年2月から4月にかけて、日本の主要証券会社8社(楽天証券、SBI証券、野村證券、SMBC日興証券、マネックス証券、松井証券、大和証券、三菱UFJ eスマート証券)で大規模なアカウント乗っ取り事件が発生しました。金融庁の発表によると、約3ヶ月間で3,312件の不正アクセス、1,454件の不正取引が確認され、不正な株式売却総額は約506億円、不正な株式買付総額は約448億円に上りました。合計すると約954億円という、うさぎの耳も真っ青になるほどの被害規模です!

著名投資家のテスタさんも2025年5月1日、自分の楽天証券口座が乗っ取られたことを発見しました。テスタさんの場合、二段階認証の確認メールを受け取って不審に感じ、確認してみたところ、前日夜に知らない株取引が行われていたことが分かったそうです。幸いテスタさんはすぐに気づいたため、大きな被害はなかったようですが、「朝9時までに気付いたから被害がなかった。半日とか1日見てなかったら、何千万円単位の被害に遭っていたかも」と語っています。

みなさんも明日は我が身かもしれません。油断は禁物です!

攻撃者の手口

では、どのような方法で口座が乗っ取られているのでしょうか?主な攻撃手法は以下の3つです:

  1. フィッシング詐欺: 偽のログインページに誘導し、認証情報を盗み取る手法です。証券会社を装ったメールが届き、「セキュリティ強化のため」などと言って偽サイトに誘導されます。うさぎの直感でも「怪しい!」と思われるかもしれませんが、最近のフィッシングサイトは本物そっくりで見分けるのが難しいんです。

  2. AiTM(アドバーサリー・イン・ザ・ミドル): これは上級テクニックで、正規サイトと偽サイトを同時に使い、ブラウザ内のクッキーを盗む手法です。ユーザーは本物のサイトを見ているつもりでも、実は通信は攻撃者を経由しているというわけです。頭のいいうさぎでも騙されちゃいます。

  3. インフォスティーラー: マルウェアを使って認証情報を盗み出す手法です。添付ファイルを開いたり、怪しいサイトからソフトをダウンロードしたりすると感染することがあります。

特徴的な不正取引パターンとしては、口座内の株式を無断で売却し、その資金で主に中国の低流動性株式を購入するという手口が見られました。これは攻撃者が別口座で保有する同銘柄の株価を吊り上げ、高値で売り抜ける「相場操縦」が目的だったと考えられています。うさぎの大好きなニンジンを使って例えると、「みんなのニンジン畑からニンジンを盗んで市場に大量出荷し、価格を操作する」みたいなものです。

証券会社における二要素認証の現状と限界

2025年4月時点で、日本証券業協会は多要素認証を必須化する証券会社58社のリストを公開し、森田敏夫会長は「多要素認証を基本的に義務化する方向」と表明しています。

二要素認証とは、パスワードに加えて別の認証方法を組み合わせる仕組みです。証券会社で採用されている主な認証方式とその特徴を見てみましょう:

二要素認証の種類と比較

二要素認証の比較

  1. SMS認証

    • 長所:導入が簡単で追加アプリ不要
    • 短所:SIMスワップ攻撃に弱く、フィッシングのリスクあり

  2. 認証アプリ(Google Authenticator等):

    • 長所:SMS認証より安全、オフラインでも使用可能
    • 短所:新アプリのインストールが必要、機種変更時の引き継ぎ作業が煩雑

  3. ハードウェアキー(YubiKey等):

    • 長所:フィッシング攻撃に極めて強い抵抗力、操作が簡単
    • 短所:追加コスト(約5,000円)、紛失リスク

  4. 生体認証(指紋、顔認証等):

    • 長所:偽造が難しく、記憶や携帯が不要
    • 短所:生体情報が流出すると変更不可、技術的に複製される可能性

今回の事件では、二要素認証を実装していた証券会社でも被害が発生しており、特にSMS認証の脆弱性が浮き彫りになりました。うさぎちゃんとしては、「認証アプリやハードウェアキーを使ったほうが安心だよ」とアドバイスしたいところです。テスタさんのケースでも「二段階認証が機能していなかった可能性」が指摘されています。

証券取引APIのセキュリティリスク

最近ではAPI(アプリケーション・プログラミング・インターフェース)を使った自動取引も人気ですが、これにもセキュリティリスクが存在します。

主なAPIセキュリティリスク

  1. BOLA(Broken Object Level Authorization):適切なアクセス制御なしでオブジェクトIDを処理するリスク。うさぎに例えると、「自分の畑だけじゃなく、隣のうさぎの畑のニンジンまで取れてしまう」状態です。

  2. 認証の不備:盗まれた認証トークンで不正アクセスされる脆弱性。「畑の鍵を盗まれて、自由に出入りされる」ようなものです。

  3. オブジェクトプロパティレベルの権限管理不備:過剰なデータ公開や一括割り当て攻撃のリスク。「必要な情報だけでなく、すべての情報が見えてしまう」状態です。

  4. リソース消費制限の不備:DoS攻撃の標的となる脆弱性。「一度にたくさんのうさぎが押し寄せて、畑に入れなくなる」ような状況です。

  5. 機能レベルの権限チェック不備:権限のない機能にアクセスされるリスク。「見るだけのはずが、編集までできてしまう」ということです。

安全なAPI実装のベストプラクティス

金融サービス業界におけるAPIセキュリティの標準的対策としては:

  1. 強固な認証と認可:OAuth 2.0、OpenID Connect、JWTトークンの適切な検証
  2. 適切な暗号化:TLS 1.2以上の暗号化、機密データの暗号化保存
  3. 厳格なアクセス制御:ゼロトラストの原則、最小権限の原則の適用
  4. レート制限とリソース保護:API呼び出し回数制限、DoS攻撃対策
  5. 包括的なログ記録と監視:不審なアクティビティの検知と対応

うさぎの世界で言えば、「入口での厳重なチェック」「大事な情報は暗号化」「必要最小限の権限だけを与える」「急にたくさんのアクセスがあったら制限する」「誰がいつ何をしたか常に記録する」ということですね!

内部不正による情報漏洩事件

外部からの攻撃だけでなく、内部不正にも注意が必要です。2017年から2019年にかけて、松井証券の取引システム開発・保守を担当していたSCSK株式会社の元社員による内部不正事件が発生しました。

内部不正の流れ

この事件では:

  • システムエンジニアが特権アクセス権限を悪用し、210人分の顧客情報を抽出
  • 顧客情報を基に本人確認書類を偽造し、架空銀行口座を開設
  • 証券口座に不正ログインして株式を売却し、約2億円を不正に引き出し

うさぎの穴を内側から掘られたようなものです。この事件は、セキュリティ対策が外部攻撃だけでなく内部不正にも対応する必要があることを示しています。

投資家自身が実践すべきセキュリティ対策

では、私たち投資家は自分の資産を守るために何をすればいいのでしょうか?

アカウント保護の基本

  1. 強固なパスワード管理

    • 長く複雑なパスワードを使用し、サービスごとに異なるパスワードを設定(「ニンジン123」みたいな簡単なパスワードはダメですよ!)
    • パスワード管理ツールの活用(LastPass、1Passwordなど)
    • 定期的(3-6ヶ月ごと)なパスワード変更

  2. 二要素認証の設定

    • 可能な限り強固な認証方式(認証アプリやハードウェアキー)を選択
    • バックアップの認証方法も用意

  3. 取引通知の活用

    • ログイン通知や取引通知を必ず有効化
    • 複数の通知チャネル(メール、SMS、アプリ通知)を設定

不審なアクティビティへの対処

  1. 即時対応

    • 不審な活動を発見したら、即座に証券会社のカスタマーサポートに連絡
    • パスワードを変更し、他のオンラインサービスも確認
    • 取引履歴やログイン履歴をスクリーンショット等で記録

  2. 関係機関への報告

    • 証券会社への報告に加え、被害が確認された場合は警察に被害届を提出
    • 金融庁や証券取引等監視委員会にも報告

うさぎの知恵として、「定期的に自分の口座をチェックする習慣をつけること」も大切ですよ!

今後のセキュリティ対策の展望

2025年の大規模アカウント乗っ取り事件を受けて、日本の証券業界ではセキュリティ対策が急速に強化されています:

  1. 多要素認証の義務化:日本証券業協会による業界全体での多要素認証必須化の推進
  2. フィッシング対策の強化:認証コード画像選択方式など、新しい認証手法の導入
  3. 異常検知システムの高度化:AI活用による不自然な取引パターンの検知
  4. 利用者教育の推進:セキュリティ意識向上と基本的対策の啓発強化

セキュリティ対策の展望

まとめ

2025年の証券会社アカウント乗っ取り事件は、投資家と証券会社の双方にセキュリティ対策の重要性を再認識させました。投資のプロであるテスタさんでさえ被害に遭うほどですから、私たち一般投資家はより一層の注意が必要です。

より強固な認証方式の導入、APIセキュリティの強化、異常検知システムの高度化といった技術的対策と、投資家自身によるセキュリティ意識の向上が、今後の証券取引における安全性確保の鍵となります。

投資家のみなさんは、強固なパスワード設定、二要素認証の利用、不審なアクティビティの監視など、基本的なセキュリティ対策を確実に実施しましょう。そして証券会社も、多要素認証の義務化をはじめとする強固なセキュリティ体制の構築を進めるべきです。

うさぎでも分かるセキュリティの基本は「用心すること」。大切な資産を守るために、油断せず対策を講じていきましょう🐰

参考リンク

Discussion

ritouritou

認証アプリ(Google Authenticator等)
長所:SMS認証より安全、オフラインでも使用可能

可能な限り強固な認証方式(認証アプリやハードウェアキー)を選択

アプリを使うものといってもいわゆるTOTPや同意をするタイプのものなどいくつかありますが、どちらもAiTMでやられるリスクはあります。

フィッシング対策の強化:認証コード画像選択方式など、新しい認証手法の導入

認証コード画像選択方式というものは、フィッシング、特にAiTMに対してはそれほど効果がないと思われます。フィッシング耐性の文脈においてはパスキーなどを例示する方が適切な気がします。

定期的(3-6ヶ月ごと)なパスワード変更

総務省の方針などで必要ないといった記載がされていたりします。

taku_sidtaku_sid

コメントありがとうございます。

セキュリティ認証についての考察、非常に的確だと思います。いくつか追加で考えられる点を挙げさせていただきます

  1. FIDOベースの認証(パスキーを含む)は、確かにAiTM攻撃に対して最も効果的な防御となりますね。実装の手間はかかりますが、エンドユーザーの体験としても非常にシームレスです。

  2. ZTNA(Zero Trust Network Access)のアプローチを取り入れることも重要です。認証は単なる入り口ではなく、継続的な検証と位置づける必要があります。

  3. 認証コード画像選択方式については、確かにAiTM対策としては不十分ですね。セッションハイジャックや他のソーシャルエンジニアリング手法にも対応する必要があります。

  4. パスワード変更については、NISTガイドラインでも定期変更よりもパスワードポリシーの強化(複雑性要件、使い回し防止、パスワードマネージャーの利用促進)を推奨していますね。

認証強化においては、ユーザーの利便性も考慮する必要がありますが、PAMソリューションやアダプティブ認証などを組み合わせることで、セキュリティと使い勝手のバランスを取ることができそうです。

prbtprbt

テスタさんのケースでも「二段階認証が機能していなかった可能性」が指摘されています。

楽天証券のマケスピやiSpeed、SBIではID/PWだけで入れるバックアップサイト(閉鎖済?)があり、そこでは2要素認証が不要でセキュリティホールを証券会社自ら作っている印象を受けました。
金融庁、日本証券業協会がもっと早くから指針を出せば改善したという意見もあると思いますが、自分は証券会社自体のセキュリティ体質が悪かったのだと思っています。
対策ですが、楽天証券の場合現状PWを長くする事と毎日口座を確認する事以外あまり効果はないと思っています。インフォスティーラーの疑いがある場合はその端末の使用をやめるのもいいと思います。
ログインされると認証を必要とせず通知をOFFにすることも可能で、2段階認証も前述のとおり抜け道があったり、2"要素"ではないので依然として危ないと思います。(セキュリティ向上のアプデは入っていて、現在どうなっているかは把握していません。SBIは多要素のようなのでバックアップサイトが閉鎖されれば多少安全かもしれません。)
補償の交渉段階であなた(証券会社)のシステムの中で一番堅牢なセキュリティにしていましたと言えるのが2段階認証などの設定をする意味なのかなと思っています。

taku_sidtaku_sid

コメントありがとうございます。

証券システムのセキュリティについての詳細な分析、とても的確だと思います。特にバックアップサイトの問題提起は重要な視点ですね。

楽天証券のマネスピ等のID/PWだけで入れるサイトは確かにセキュリティホールになりうる点は軽視できません。MFA(多要素認証)の設定有無にかかわらず、こうした代替経路が存在すると全体のセキュリティレベルが下がってしまいます。

証券会社のセキュリティ実装については、「最強のセキュリティ」と言いながら基本的な防御層に抜け道があるのは確かに問題です。補償交渉においても、「可能な対策を全て実施していた」ことが重要な要因になるという視点は重要ですね。

ただ、MFAについては以下の点も考慮すべきかと思います:

  • Infostealerによってセッションが盗取された場合、MFAを突破可能(Post-Auth状態のセッションが取得できるため)
  • したがってMFA "だけ" では完全な対策にはならない
  • エンドポイントセキュリティ、ネットワークモニタリング、異常検知といった多層防御が必要

証券取引システムの特性上、「利便性と安全性のバランス」を取るのは非常に難しいですが、特にバックアップアクセス方法については再考の余地が大きいと思います。