「証券口座を見たら、知らない間に200万円分の株が売買されていた…」
このような被害が2025年以降急増しています。
金融庁によると、実際に2025年5月に16の証券会社で、合計3,556件の不正アクセスと合計2,289件の不正取引が確認されました。
【参考情報】
金融庁 | インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています
被害者の多くは「まさか自分が」と驚きます。
なぜなら、パスワードは誰にも教えておらず、怪しいサイトにアクセスした覚えもないからです。
しかし実際には、「フィッシング詐欺」と呼ばれる手口で証券口座の情報が盗まれ、勝手に株が売買されてしまいます。
本記事では証券会社を装うフィッシング詐欺の概要とその対策方法を解説します。
証券会社を装うフィッシング詐欺の手口
フィッシング詐欺とは、実在する企業やサービスなどを装った偽サイトに誘導して、アカウント情報(ID・パスワード)、個人情報、クレジットカード番号などを盗みネット詐欺のことです。
フィッシング詐欺はECサイトやクレジットカード会社を装うケースが多いですが、2025年から証券会社を装うケースが急増しています。
【参考記事】
「オンラインサービスログイン時の確認画面表示について」などの楽天証券を装う偽メールに注意
「安全基準強化に伴う緊急の設定確認をお願いいたします」などのSBI証券を装う偽メールに注意
「キャッシュバック処理に関する重要なお知らせ」などの野村證券を装う偽メールに注意
一般的には、被害者は以下の1~3の流れで、フィッシング詐欺にだまされてしまいます。
ステップ1:証券会社などを装う偽メール・偽SMSが届く
突然以下のようなメールやSMSが届きます。
- 「【緊急】口座が不正利用されている可能性があります」
- 「重要:セキュリティ強化のため、すぐに確認してください」
- 「口座凍結を避けるため、24時間以内に手続きを」
メールやSMSの本文やデザインが、実際に証券会社から送信されているものに似ているため、本物と区別がつきにくいです。
またた、詐欺師は必ずしも証券会社を装うとは限らず、金融庁や警察などの他の機関・会社になりすまして証券口座の情報を盗もうとするケースもあります。
ステップ2:偽サイトに誘導される
メール内のリンクをクリックすると、証券会社のログインページなどが表示されます。
しかし、これは本物そっくりに作られた偽サイトです。
ステップ3:アカウント情報や個人情報などを盗まれる
上記偽サイトにアカウント情報(ID・パスワード)を入力してしまうと、その情報が詐欺師の手に渡ってしまいます。
そして詐欺師は、あなたの証券口座にログインして、アカウントに登録されている情報を盗みます。勝手に株の売買を行うこともあります。
以前のフィッシング詐欺は、メールの日本語が不自然であったり、サイトのデザインが雑であったりしたので、注意深く見れば偽物だと分かりました。
しかし、近年詐欺は、詐欺師がAIを使って自然な日本語の文章を作成したり、本物のサイトのデザインをそのままコピーしたりするようになったため、本物かどうか判別するのがより困難になっています。
【関連記事】
トレンドマイクロ | セキュリティブログ | 多要素認証の必須化後も減っていない「証券口座乗っ取り」の現状
証券会社58社が利用者に対して多要素認証の設定を必須化
今回のフィッシング詐欺の被害状況を受けて、証券会社58社が、アカウントに「多要素認証」の設定を必須にすると発表しました。
多要素認証とは、本人確認を行うために複数の認証手段を組み合わせる方法です。
例えば、IDやパスワードといった知識情報(アカウントの持ち主だけが知っている情報)に、スマートフォンに届くログインコードなどの所有情報、指紋などの生体情報を使用します。
上記3要素の中から、2つ以上の認証要素を組み合わせることで、不正ログインをより確実に防ぐ方法です。
【参考情報】
日本証券業協会 | News Release | 「インターネット取引におけるログイン時の多要素認証の設定必須化を決定した証券会社」の公表について
ログイン時に「多要素認証」の設定を求められたときは、後回しにせずきちんと設定しておきましょう。
多要素認証を突破する「リアルタイムフィッシング」
最近、従来のフィッシング詐欺よりもさらに巧妙で、多要素認証をも突破する「リアルタイムフィッシング」という手口が確認されています。
リアルタイムフィッシングとは、攻撃者がフィッシングサイトでユーザから盗み取った情報をすぐに本物のサイトに入力してログインを試みる手法です。
ユーザから見ると普通に操作できているように見えるため、多要素認証の通知を受け取っても自分の操作によるものと認識してしまい、ログインコードなどの追加認証情報を入力してしまいます。
フィッシング詐欺にだまされないための対策
フィッシング詐欺にだまされないためには、以下の対策が有効です。
- メールやSMSなどに記載されているURLは不用意に開かない
- ブックマークに登録されたURLや公式サイト、公式アプリからサイトを開く
- 不用意にアカウント情報や個人情報、クレジットカード情報などをサイト上で入力しない
しかし、前述の通り、最近の偽サイトは本物と見分けがつかないほど巧妙化しています。
さらに「リアルタイムフィッシング」の出現により、従来の対策方法が絶対に安全とは言えなくなりました。
上記の対策を日ごろから実践しつつ、より確実な予防法として「トレンドマイクロ 詐欺バスター」の利用を検討してください。
トレンドマイクロ 詐欺バスター(iOS/Android)
トレンドマイクロ 詐欺バスターはネット詐欺や詐欺電話をブロックする詐欺対策専用アプリです。
個人情報や金銭を狙うフィッシングサイトや、不正アプリをダウンロードさせるサイトなどの、不正なサイトへのアクセスをブロックします。
また、受信したSMSやアクセスしたWebページなどのユーザ行動から、詐欺の手口に似たパターンを見つけてアラートを表示します。
以下のアプリストアより、30日間の無料体験版をインストールしましょう。
QRコードからアプリをインストールする
トレンドマイクロ 詐欺バスターのその他の機能(クリックして詳しく見る)
詐欺の可能性があるメッセージをSMSフィルタで識別し、迷惑メッセージフォルダに自動で振り分けます。
怪しいWebサイトやテキストメッセージ、オンライン広告をスクリーンショットで撮影し、その写真をアプリに送信すると、詐欺の可能性がないか、AIがチェックします。
発信および着信時に特殊詐欺の疑いがある場合は画面上に警告を表示します。ブロック設定を有効にすることで、発着信の自動的な切電も可能です。
※iPadOSでは詐欺電話対策はご利用いただけません。iOSでは発信時のブロック(自動的な切電)はご利用いただけません。
ビデオ通話やライブ配信において、ディープフェイクによるなりすましの可能性がある際は警告を表示します。LINE、Instagramなどの、ビデオ通話機能やライブ配信機能があるアプリ各種でご利用いただけます。
詐欺バスターの詳しい説明はこちら
トレンドマイクロ 詐欺バスター3台版はご自身とご家族※のスマートフォンで、最大3台までご利用いただけます。
※同居の家族もしくは同居していない親と子
大切な人を詐欺被害から守るために、家族で一緒に対策を始めませんか?
日々巧妙化する詐欺への対策を
まずは基本的なセキュリティ対策として、お使いの証券会社のアカウントに多要素認証を設定してください。
「自分は大丈夫」だと思わずに、少しでも怪しいと感じたら警察や家族に相談してください。
より確実に詐欺から身を守りたい場合は、本記事で紹介した「トレンドマイクロ 詐欺バスター」による対策がおすすめです。
執筆者情報
同じカテゴリの人気記事
無料体験版のご紹介
パソコンやスマホのセキュリティ対策が気になるときは・・・
まずは30日間、無料体験してみませんか?
スマホ・タブレットをお使いのお客さま
(Android/iOS/iPadOS)
パソコンをお使いのお客さま
(Windows/MacOS)
- ※Windows8.1以上をお使いの方は、Microsoft Storeからもダウンロードできます。
- ※無料体験版をご利用の際は、クレジットカードの登録不要!
- ※30日無料体験版は、無料体験期間終了後、自動で有償版に切り替わることはございません。
- ※Windows版とMac版ではご利用いただける機能が異なります。詳しくは機能一覧をご覧ください。
- TREND MICRO、およびウイルスバスターはトレンドマイクロ株式会社の登録商標です。
- 「Android」、「Google Play」はGoogle LLCの商標です。
- 「iOS」、「iPadOS」、「MacOS」、「App Store」はApple inc. の商標です。
- 「Microsoft」はMicrosoft Corporation の商標です。
