証券口座の不正アクセス・不正取引対策。パスキー・多要素認証・偽サイトの見分け方
証券口座の不正アクセスは、銀行の不正送金とは違い、保有株式や投資信託を勝手に売買されるリスクがあります。日本証券業協会や金融庁は、偽サイト、偽アプリ、マルウェア、リアルタイムフィッシングへの注意を呼びかけています。
この記事の結論
- パスワードだけで守る前提は弱い。パスキーや多要素認証を有効化する。
- 検索広告やメール内リンクからログインせず、公式サイトをブックマークする。
- ワンタイムパスワードもリアルタイムフィッシングでは突破される可能性がある。
- ログイン通知、売買履歴、出金先口座を定期的に確認する。
- 不審な取引に気づいたら、証券会社へ即時連絡し、パスワードと取引暗証番号を変更する。
押さえておきたいポイント
証券口座では、資金移動だけでなく、保有銘柄の売却や不自然な買付が被害になります。普段使っていない口座でも残高があるなら、ログイン通知と取引通知を必ず設定します。
パスキーは偽サイトにパスワードを入力させる攻撃に強い方式です。対応証券会社ではパスキー、端末認証、生体認証、取引時認証を優先しましょう。
偽サイト対策では、URL、証明書、画面の違和感を見るより、そもそもメール・SMS・広告から入らないことが最も実務的です。
最初に設定したい防御策
まず実施したいのは、ログイン用パスワードの使い回しをやめることです。メール、ネット銀行、証券口座で同じパスワードを使っていると、一つのサービスから流出した情報で証券口座にも入られる可能性があります。
次に、証券会社が用意している多要素認証を有効にします。ログイン時だけでなく、出金、出庫、売買、登録情報変更のタイミングで追加認証ができるなら優先度は高いです。
対応している場合はパスキーを使います。パスキーは正規サイトと端末を結び付けるため、偽サイトにパスワードを入力してしまうタイプの攻撃に強い仕組みです。
偽サイトを見分けるより、入り口を固定する
偽サイトは本物そっくりに作られるため、画面の見た目だけで判断するのは危険です。ログインは公式アプリ、ブックマーク、証券会社の公式サイトから行い、検索広告、メール、SMS、SNSのリンクからは入らない運用にします。
特に注意したいのは、ワンタイムパスワードを入力させるリアルタイムフィッシングです。ワンタイムパスワードがあるから安全と考えず、ログイン経路そのものを固定することが重要です。
被害に気づくための確認項目
ログイン履歴、約定履歴、出金先口座、登録メールアドレス、出庫依頼の有無を定期的に見ます。普段取引しない口座ほど、通知設定をしていないまま放置されがちです。
不審な取引があれば、証券会社へ連絡し、ログインパスワード、取引暗証番号、メールパスワードを変更します。端末側のマルウェア感染が疑われる場合は、別端末から操作する方が安全です。
証券口座の安全対策チェックリスト
| 確認項目 | 優先度 | 具体的にやること |
|---|---|---|
| ログイン経路 | 高 | 公式アプリまたはブックマークからのみログインする。検索広告、メール、SMSのリンクは使わない。 |
| 認証方式 | 高 | パスキー、多要素認証、取引時認証、端末認証を有効にする。 |
| 通知 | 高 | ログイン、売買、出金、登録情報変更の通知をオンにする。 |
| 口座情報 | 中 | 出金先口座、登録メールアドレス、電話番号が勝手に変わっていないか確認する。 |
| 端末 | 中 | OSとブラウザを更新し、共用端末や公衆Wi-Fiで証券口座に入らない。 |
不審な動きを見つけたときの順番
- 証券会社の公式窓口へ連絡し、口座の利用制限や調査を依頼する。
- ログインパスワード、取引暗証番号、メールアカウントのパスワードを変更する。
- 同じパスワードを使っている銀行、クレジットカード、ポイントサービスも変更する。
- 約定履歴、出金履歴、出庫履歴、登録情報変更履歴を保存する。
- 被害状況に応じて警察、消費生活センター、証券会社の相談窓口へ相談する。
証券口座は「出金されていないから大丈夫」とは言い切れません。勝手に保有株を売られたり、流動性の低い銘柄を買わされたりする被害も想定します。
関連記事
参考にした公式情報
