証券口座が危ない!SBI・楽天証券で今すぐ設定必須の対策とは
証券口座の乗っ取り被害が急増しておりSBI証券や楽天証券など多くの利用者が標的となっています。
本記事ではセキュリティ設定の詳細と取るべき対策を徹底解説します。SBI証券・楽天証券を利用しているすべての人が対象です。今すぐ確認し被害を未然に防ぎましょう。
キーポイント
証券口座乗っ取りの実態と拡大する被害 (00:00:00)
証券口座の乗っ取り被害が深刻化しています。被害総額はなんと954億円(2025年4月16日時点)にも達しています。しかもこの数字は今後さらに増加する可能性があるとされています。
金融庁はこれを受けて被害実態の公表とともに証券各社に対してセキュリティの徹底を要請しました。そしてSBI証券と楽天証券を含む10社が被害にあった顧客に対して条件付きで補償を行う方針を表明。さらに急ぎでセキュリティ対策の強化に乗り出しました。
犯人の巧妙な手口とは?詐欺の実態に迫る (00:04:23)
今回の詐欺事件は従来の「お金を引き出す」タイプの乗っ取りとは一線を画しています。攻撃者たちはよりリスクの少ない形で利益を得るため新たな手口を使っていました。
まず犯人が自分で価格が安く取引量の少ない株式を大量に保有します。そして乗っ取った他人の口座からその株を大量に購入させます。この大量購入によって株価が一時的に高騰し、そのタイミングで犯人は自分の株を売り抜けることで利益を得るのです。
購入させられた側、つまり被害者の口座では高値で購入した株がその後暴落し結果として多額の損失を被ることになります。これはいわば「自分のお金で他人を儲けさせる」構図であり非常に悪質です。
この手口は中国株式を中心に行われていると当初は報道されましたが現在では日本株式でも同様の被害が確認されています。つまり外国株だけでなく国内株も対象になっているという点でより警戒が必要になってきています。
フィッシング詐欺・マルウェア・中間者攻撃のリスク (00:06:43)
証券口座乗っ取りに使われた手口は主に三つに分類されます。まずは昔からある「フィッシング詐欺」です。これは偽のメールやWebサイトを使ってログイン情報を盗み取る手法で今もなお多くの被害を出しています。
特に巧妙な点は見た目が本物と区別がつかない点です。メールの文面、リンク先のデザイン、ドメイン名までもが本物に酷似しておりPCやスマートフォンに不慣れな人でなくても騙される可能性があります。
次に「インフォスティーラー」と呼ばれるマルウェアの存在があります。これは悪意のあるソフトウェアをPCやスマホに忍ばせログイン情報や保存されたID・パスワードを収集するものです。一度感染してしまえばユーザーが何をしているかを監視され続けることになります。
そして最も脅威となっているのが「AITM(中間者攻撃)」です。これはユーザーと正規のWebサイトの間に偽のサイトを介入させることでリアルタイムにログイン情報を盗み取るというものです。特に問題なのは二要素認証さえも突破されてしまう点といえるでしょう。
AITMではユーザーが入力したワンタイムパスワードや生体認証の情報が攻撃者にもリアルタイムで伝えられてしまいます。さらにPCに保存されたログインクッキーまで盗み取られると完全に「ログイン済み」の状態を再現されてしまうのです。
このようにログイン情報を守るだけでは不十分な時代に突入しています。セキュリティを強化するには証券会社側の対策とユーザー自身の行動の両方が求められるのです。
SBI証券が導入する必須の認証と設定 (00:09:11)
SBI証券ではこれまで任意だった一部のセキュリティ設定を2025年5月31日までに必須化することを決定しました。これは被害拡大を防止するための緊急対応策として実施されるもので設定を行っていないとログインや取引ができなくなるという極めて厳しい措置です。
まず導入されるのが「デバイス認証」と「FIDO認証」です。FIDO認証とは生体認証やセキュリティキーを使った多要素認証の仕組みでパスワード単体よりも格段に安全性が高いとされています。SBI証券ではPCからログインする際には「デバイス認証」がスマートフォンからログインする際には「FIDO認証」が必須となります。
さらに出金時の二要素認証も強化されました。従来は50万円を超える出金に限り二段階認証が必要とされていましたが、今後は出金額に関わらず全ての出金に対して認証が必要になります。今回の乗っ取りでは出金されることは少ないですが今後同様の手口が悪用される可能性を考慮し全面的なセキュリティ強化が図られています。
自分でできる4つの乗っ取り対策 (00:10:56)
証券会社が強固なセキュリティ対策を打ち出してもそれだけでは不十分です。ユーザー自身がどの口座を使い、どの機能を使っているかを明確にし使っていない口座やチャンネルは閉鎖または停止することが必要です。これは「攻撃される面積を減らす」という最もシンプルかつ効果的な方法といえます。
パスワードの管理についても見直すべき点があります。推奨されるのは16桁以上の英数字・記号を含むパスワードの使用でこれをパスワード管理ツールで安全に保管・運用することです。OSやブラウザに内蔵されている無料ツールでも十分活用できます。
また見落としがちなのが「通知機能」の設定です。ログイン通知や取引アラートはメールで受け取ることができ不正なアクセスや売買に素早く気づくきっかけになります。しかし利便性を優先してオフにしている人も多く設定の見直しが急務です。
そして毎回ログアウトをするというのも重要です。ログアウトせずにブラウザを閉じてしまう人も多いでしょうが終了時には必ずログアウトをしましょう。
SBI証券での口座の閉鎖・停止による防衛策と現実的な対応 (00:14:47)
SBI証券を使う上でできる乗っ取り対策としてまずは証券会社の選定があります。SBI証券だけでなく他の証券会社の口座もある場合、どれか一つに絞ることをお勧めします。
その次に使っていない証券口座を閉鎖しましょう。SBI証券においては複数の口座がユーザーごとに開設されており全てが一括で閉鎖できるわけではありません。たとえば「信用取引口座」「FX口座」「先物オプション取引口座」「CFD取引口座」「金・プラチナ取引口座」は閉鎖可能です。一方「外国株式取引口座」「PTS取引口座」「カバードワラント取引口座」「外国建MMF口座」は閉鎖が不可能とされています。
閉鎖できない口座に関しては「取引の停止」という手段が取れるケースがあります。外国株式取引口座であればカスタマーサービスに連絡をすれば取引停止が可能です。再開も同様に電話で手続きする必要があります。これは今後のリスクを減らすためにも非常に有効な方法です。
一方、日本株式についても取引停止できるという情報がありますが定かではありません。カスタマーセンターで最新情報を確認することをお勧めします。また口座自体の一時停止機能もSBIでは利用できないため緊急時の「即時遮断」ができないのも注意すべきポイントです。
またSBI証券が抱えていたリスクとして挙げられていたのが「バックアップサイト」の存在です。本来、メインの取引サイトがダウンした場合の代替として用意されていたこのサイトですがIDとパスワードのみでログイン可能な構造になっていたためセキュリティ上の大きな穴となっていました。ユーザーの間でも批判が集まり結果的に2025年5月2日をもってこのサイトは閉鎖されました。
なお出金先口座の変更は書面のみという点は評価できるでしょう。手間がかかる反面高いセキュリティ能力を持っています。
楽天証券の6月1日必須化される多要素認証 (00:21:23)
楽天証券もSBI証券と同様に近年の不正アクセス事件を受けてセキュリティ対策を強化しています。その中でも特に注目されるのが2025年6月1日からすべてのログインチャンネルにおいて多要素認証を必須化するという措置です。これまで楽天証券では一部のチャネルでのみ多要素認証が求められていましたが今後はWebサイトだけでなくマーケットスピード、iSPEEDなどすべてのアプリにおいて必須となります。
その一つがリスクベース認証です。これはアクセス元の端末やIPアドレス、過去の行動履歴などをAIが解析し疑わしいアクセスに対して電話認証を要求するというものです。
また楽天証券では絵文字を使った認証がユニークな手法として導入されています。ログイン時にメールで送られた特定の絵文字をWeb画面上で正しく選ぶことでログインが完了します。これは他人が情報を入手しても順番と絵文字を知らなければ突破できないというシンプルながら有効な仕組みです。
加えて重要なのはこれらの設定は6月1日以降は任意ではなく強制になるという点です。それまでに設定していなければログインができなくなる恐れがあります。今すぐできる具体的な行動としてはまず「登録メールアドレス」と「電話番号」が最新のものになっているかを確認することです。どちらも認証の要にあたる部分でありここが誤っているとログインできない、あるいは不正アクセスを防げないということにつながります。
また多要素認証の設定を自分でオンにする必要がありますので楽天証券のマイページにログインし「ログイン追加認証」の項目を確認しましょう。設定をオンにすれば6月以降の制限にも問題なく対応できます。
自分でできるセキュリティ対策の全体像と実践法 (00:24:43)
証券会社によるセキュリティ強化が進む中で最も重要なのはユーザー自身が実践できるセキュリティ対策を講じることです。ここでは4つの具体的な対策をあらためて整理しながら解説していきます。
まず一つ目は証券会社の選定と口座の整理です。証券口座を複数保有している人は少なくありませんが使っていない口座がある場合、そこが狙われるリスクを高めてしまいます。そのため「使っていない口座は即時解約する」ことが第一の対策です。
二つ目の対策は商品チャネルの見直しです。開設していても使っていない口座がありませんか。今後使う予定がないのであればそれらを閉鎖または取引停止にすることが有効です。
三つ目の対策は多要素認証の設定とパスワードの強化です。「設定したつもり」になっている人が少なくないのが実情です。加えてパスワードは「16桁以上かつ英大文字・小文字・数字・記号を混在させたもの」が推奨されています。しかしそのようなパスワードは当然覚えづらくなるためそこで活用すべきなのがパスワード管理ソフトです。無料のものでも十分ですがさらにセキュリティを高めたい場合は有料の「1Password」などを検討してもよいでしょう。
四つ目の対策は通知機能の活用です。証券会社ではログインや売買、出金などに関するアラート通知やログイン通知を設定することが可能です。これは万が一不正アクセスが発生した際に即座に気づけるかどうかを左右する重要な仕組みといえます。多くの人が通知機能をオフにしていますが、セキュリティ対策は、気づけることが第一歩です。
そして最後に大切なのがログアウトの徹底です。Web取引を終えた後、ブラウザを閉じるだけではログアウトにはなりません。特に共有端末やスマートフォンでログインしたまま放置していると第三者にアクセスされるリスクがあります。必ず「ログアウト」操作をしてからブラウザやアプリを終了するようにしましょう。
楽天証券でできるセキュリティ対策と講座停止方法 (00:29:43)
楽天証券ではユーザーが自ら行えるセキュリティ対策が多数用意されています。その中でも使っていない口座や取引チャネルの停止は最も有効な対策の一つです。
まず解約可能な個別口座としては「信用取引口座」「先物オプション口座」「海外先物口座」「特定口座」が挙げられます。これらはすでに使っていない、または今後利用する予定がない場合、解約手続きを行うことが可能です。
一方で「外国株式口座」「FX口座」などは解約ができない口座として分類されています。これらについては口座の存在だけでリスクを抱える可能性があるため取引の一時停止が推奨されます。
楽天証券では外国株式の取引については「中国株のみ停止」「米国株のみ停止」「すべての外国株を停止」など取引制限の細かい設定が可能です。これらはコールセンターに電話をすることで手続きできます。加えて証券口座全体の「一時停止」も可能です。つまり一時的にすべての取引を完全に停止し安全が確認された後に再開するといった柔軟な運用ができます。
この一時停止の設定は24時間365日いつでもオン・オフが可能で専用の電話番号に連絡し本人確認を経て即時反映される仕組みです。この機能がある点ではSBI証券よりもセキュリティ面の自由度が高いといえるでしょう。
出金先口座は多要素認証を設定していればWeb上から変更が可能です。利便性は高いもののセキュリティにやや難があるといえるでしょう。
まとめ
今回紹介した通り証券口座の乗っ取り被害はもはや他人事ではありません。SBI証券と楽天証券の両社は6月1日からの多要素認証の必須化など非常に強力なセキュリティ強化策を打ち出していますがそれだけでは万全とは言えません。
被害にあわないためにはまず「自分の口座の状況を確認する」ことが最優先です。設定したつもりで実は設定されていなかったり通知がオフになっていたりパスワードが弱かったりと思わぬ落とし穴があるかもしれません。
証券会社が用意したセキュリティ対策に加えユーザー自身が講座の管理、ログイン通知の活用、アプリの正しい使用、そしてパスワードの見直しを行うことでリスクを大幅に減らすことができます。
今すぐログインして自分の設定状況を確認しましょう。取引できなくなる前に安全な状態を整えることが投資家としての第一歩です。被害が起こってからでは遅いのです。
またこちらの動画「【設定忘れで被害者に!?】楽天証券フィシング詐欺や「勝手に売買」にあわないための重要設定とは?撃退対策も紹介!」ではより詳しい楽天証券での乗っ取り対策法を紹介しています。
さらにこちらの動画「証券口座は1つがおすすめ!投資初心者が知るべき理由とメリット」ではなぜ証券口座を1つに絞った方がいいのかを解説していますので併せてご覧ください。