2025年4月以降、証券会社の口座が乗っ取られ勝手に株式を売買されるという被害が激増しています。
そのきっかけとなるのが偽のサイトへ誘導するフィッシングメール。
しかし、フィッシングには心当たりがないにもかかわらず不正ログインされて口座を乗っ取られる事例も発生しています。
このような状況に私たちはどうしたらよいのでしょうか?
口座乗っ取りの手口
もっとも多いパターンは、被害者の口座にログインして、その口座で株式を売買します。
まず、被害者の口座にある株式を売却、それを元手に取引が少なく株価の安い株式を大量に購入。この動きが続くと株価が動きます。
株価が上がったところで犯罪者は、あらかじめ安く買っておいた手持ちの同銘柄の株を売却して利益を得るという手口です。
口座から現金が引き出されることはありませんが、株価操作の踏み台に使われることで場合によっては大きな損失を被るということになります。
口座をチェックしないと、取引が行われたことすら気づかないケースもあります。
なぜ他人にログインされてしまうかといえば、その多くがフィッシングメール。
しかし、最近ではフィッシングにひっかかっていなくても口座が乗っ取られたという事例も増えています。
口座が乗っ取られる原因
①フィッシングメール
このブログでもご紹介している偽のサイトへ誘導するメール。
メール内にある「確認はこちら」「ログイン」といったリンクをクリックすると本物のサイトそっくりのログイン画面に誘導され、そこに個人情報を入力させることで、情報を盗みます。
私のもとにはSBI証券、野村證券をかたったメールが度々やってきます。
もちろんこれ以外の証券会社をかたったものも存在しています。
②インフォスティーラー
日本語に直訳すると「Information Stealer」=「情報を窃取する者」という意味。
フィッシングやWebサイトの広告やダウンロードを経由して侵入したマルウェア(パソコンやスマホの端末に損害を与える悪意あるソフトウェア)で、端末内のデータをユーザーに気づかれないように収集します。
パスワードの他、クレジットカードや銀行口座に関する情報、クリップボードに保存されているデータなども抜き取ります。
そして、収集された情報は闇サイトなどで販売されることもあります。
口座が乗っ取られないために気を付けたいこと
① メール内のリンクから誘導するものは疑え!
「確認はこちら」やURLなどリンクをクリックしない!
口座乗っ取りの大半はフィッシングから。 基本中の基本です。
私が利用している証券会社からもフィッシングについての注意喚起や認証方法変更について公式の案内メールが届きました。
口座乗っ取りの実被害が報告されている証券会社 2社ですが、メール内にリンクはありません。
もはやリンクからログイン画面が開くものは詐欺と思った方がいいでしょう。
口座の状況を確認する場合は、必ず公式サイトからログインまたは、スマホアプリから行いましょう。
② 公式サイトをブックマークに登録しておく
検索からのサイト移動も危ういことがあります。
なぜなら一番上に出てくるのはその企業の公式とは限りません。
スポンサー企業が優先です。
一例として、アメリカのESTA(電子渡航認証)を申請しようと検索すると、大使館公式でないサイトが表示され、実費に加え高額な代行手数料をとられたという報告を聞きます。
企業ならまだしも、時には偽サイトが潜んでいる危険もあります。
よく利用する金融関係やショッピング関係のサイトはブックマークしておきましょう。
③ 証券会社の推奨するセキュリティ対策を行う
この1~2ヶ月で証券会社がセキュリティ対策を行うと発表しています。
証券口座をお持ちの場合、各社から公式のメールが届いていると思います。
(二要素認証など)証券会社の推奨するセキュリティ対策を実施しないと取引ができなくなるといった厳しいものもあります。
各社ログイン画面にもこのような表記が見られるようになりました。
大手証券は・・・フィッシングメールが多いわりにはのんびりしている感じ?
このタイミングで、公式に混じってフィッシングメールも届くことがあります。
最善策として証券会社(公式)がいうとおりに早急にセキュリティ対策をしましょう。
もちろんメールからではなく、ブックマークに登録した公式からログインします。
その際、画面上のURL(アドレス)の確認もお忘れなく。
なお、ネット証券のサポート窓口はただでさえつながらないのに、この状況ではさらに厳しくなると思われます。
セキュリティの追加認証設定など、自分では難しくて無理、サポートしてくれる人がいないとできないという方は、手数料が高くても対面取引(直接担当者に電話で)できる店舗を持った証券会社と取引きしましょう。
④ 公共Wi-Fiを使って取引をしない
街中や飲食店にある無料Wi-Fiはセキュリティが脆弱で、通信内容を盗み取られる危険があります。
安全性が確認できないWi-Fiを使った金融取引やネットショッピングは控えましょう。
これに関連して、公共施設やホテルなどの共用パソコンでの取引も控えましょう。
また、自宅の無線LANルータが古い場合も、情報を盗みとられる危険があります。
無線LANルータも最新のセキュリティ機能を搭載したものが次々に発売されています。
スマホ本体に比べたらお手軽な価格なので定期的に新しいものを導入しましょう。
⑤ OSを常に最新に更新する
インフォスティラーに関しては、マルウェア(ウイルス等)による情報抜き取りが原因となります。
パソコンやスマートフォンのOS(基本ソフトウェア⇒システムアップデート)を最新の状態にしておくことを心がけましょう。
たまにWindowsは最新OSリリース直後にトラブルを起こすので痛しかゆしですが、昔に比べたらOSのセキュリティは格段に強化されています。
ウイルス対策ソフトも一考の余地はありますが、私個人の経験として「ウイルス対策ソフトを入れているから自分のパソコンは大丈夫」と、偽警告画面の被害にひっかかってしまいそうになった事例を見ています。
また、無料ウイルス対策ソフトは紛らわしい警告を出すこともあるので、導入は慎重に。
⑥ パスワードを端末に保存しない・使いまわさない
「このパスワードを保存しますか?」というメッセージに「毎回入力するのは面倒だから」と保存している方も多いと思います。(私も、です)
インフォスティーラーでは、端末内に保存されたパスワードやクレジットカード情報を盗まれる可能性があります。
最大の警戒策としては、パスワードは保存せずに毎回入力、あるいは二段階認証などの方法でログインしましょう。
【Microsoft Edgeで常に保存しない設定に変更する方法】
同じパスワードを複数のサイトで使いまわさないというのも強力な対策になります。
⑦ 口座情報はこまめにチェックする
ログインして口座に不正な動きがないか週に1度は確認しましょう。
また、ログインや取引きが行われるとメールに通知がくる設定もオンにしておきましょう。
これは、証券口座に限らず、クレジットカードに関しても有効な対策です。
⑧ 大事なお知らせはGmailで受信してみる
Google社の提供するGmailは迷惑メールフィルターが強力と定評があります。
その理由は、少しでも怪しきメールは弾く設定になっているから。
まともなメールまで迷惑メールに振り分けられてしまうことが問題になるくらいです。
私は(Android民なので)プライベートでのメインはGmailです。
記事で紹介しているフィッシングメールは、Gmailで受信したものはありません。
まあ、買い物やら旅行関係やら・・・登録しているものが多すぎて日々大量のメールが届きますが、今のところ心当たりのある「公式」しか入ってきません。
これ意外と触れられていませんが・・・個人的にはフィッシングメール対策には一番効果的だと思っています。
なお、時々「Appleユーザーだから(iCloudメール使っている)Gmailは作れない」と思っている方がいます。
AppleユーザーでもGoogleアカウントは無料で作れます。
Googleアカウントを作れば、もれなくGmailが使えます。
フィッシングの危険性の高い証券会社やクレジットカード会社のメールだけでもGmailで受信してみてはいかがでしょうか。
まとめ
以上 口座乗っ取りに関しての対策などをまとめてみました。
私たちが想像する以上に、犯罪集団は頭が良く次々に新しい手を考えてきます。
そして国際化する組織の中で、日本は”最高のターゲット”だそうです。
言語の壁もAIの活用でそれもクリアされ、今後さらに手口は巧妙化すると思われます。
フィッシングなどの被害が撲滅されるように当ブログでは今後も注意喚起などを行っていきたいと思っています。
