第1章 証券口座の乗っ取り被害が増えた背景と、業界全体で進むセキュリティ強化の動き
● 証券口座の不正アクセスが急増、その手口とは?
2025年4月、証券口座の乗っ取り被害件数が2,932件と急増しました。ところが、同年6月には783件まで減少しています。この流れの背景には、証券業界全体でセキュリティ対策が急ピッチで進んでいることが関係しているようです。
不正アクセスの大半は、いわゆる**フィッシング※**によるものです。これは、実在する証券会社を装った偽サイトやメールを使って、ログイン情報などをだまし取る手口を指します。
※フィッシング:本物そっくりの偽サイトに誘導して、パスワードやIDなどの情報を盗み取る行為。
こうした攻撃によって、利用者の口座が第三者に乗っ取られ、株式などが勝手に売買されるという深刻な問題が起きてきました。
● 金融庁と証券業界が打ち出した新しいルール
この状況を受けて、金融庁と日本証券業協会(以下、協会)は、それぞれの立場で具体的な対策を打ち出しました。金融庁は証券会社を対象にした監督指針を、協会は会員会社向けのネット取引ガイドラインを改定しています。
いずれも、以下のような内容が新たに盛り込まれています。
| セキュリティ対策 | 内容 | 対象の操作 |
|---|---|---|
| 生体認証またはPKIの導入 | 指紋や顔認証といった生体情報や、PKI(公開鍵暗号基盤)※を使った高度な認証技術を採用すること | ログイン時、出金時 |
| 多要素認証の必須化 | パスワードに加えて、SMSや専用アプリを使ったワンタイムパスワードなど複数の認証手段を組み合わせる | すべてのインターネット取引 |
※PKI(公開鍵暗号基盤):電子証明書を活用して、利用者が正しい本人かどうかを確認する認証方式。
これらの対応は“努力義務”とされつつも、実際には業務改善命令の対象になる可能性があるため、ほぼすべての証券会社が実質的に対応を進めているという状況です。
● 多要素認証の導入はどこまで進んでいる?
協会によれば、2025年7月時点で、ネット取引を行っている79社が「多要素認証を原則必須化する」との意向を表明しています。これは、会員証券会社のおよそ8割にあたる規模です。
大手証券会社だけでなく、ネット専業や地域に根差した証券会社まで、導入の動きは広がりを見せています。協会の関係者からは「一刻も早く」という強い発言も聞かれ、導入のスピード感に対する危機意識もうかがえます。
なお、すべての顧客に強制せず、希望しない場合には例外的に多要素認証を適用しない運用も認められています。これは、高齢者やデジタル機器に不慣れな利用者への配慮ともいえそうです。
● 対策の成果と、見えてきた新たな課題
実際に、セキュリティ対策を強化した結果、被害件数は短期間で大きく減少しています。特に、対策を強化した証券会社の中には、一定期間、被害が一件も確認されていないという報告も出ています。
一方で、被害を受けた証券会社の数そのものは増加傾向にあります。累計で17社に達しており、攻撃対象がよりセキュリティ面で脆弱な中堅・中小の証券会社へと移っている可能性もあります。
このように、対策の効果が出ている一方で、業界全体の底上げが引き続き求められていると言えるでしょう。
第2章 本人確認の精度を高める多要素認証と最新技術の仕組み
● なぜ今「多要素認証」が重要なのか
最近の証券口座への不正アクセス対策として、注目されているのが**多要素認証(MFA)**です。これは、パスワードだけに頼るのではなく、異なる種類の情報を組み合わせて本人確認を行う方法のこと。
たとえば、「知識(パスワードなど)」「所持(スマートフォンなど)」「生体情報(指紋や顔など)」といった要素を複数組み合わせることで、なりすましによるログインを防ぐ仕組みです。
単一の認証では突破されやすい攻撃にも、複数のチェックポイントがあることで防御力が高まるとされています。
● 生体認証の種類と流れを理解しよう
近年では、特に生体認証の導入が進んでいます。これは、利用者自身の身体的特徴を使って本人確認を行う仕組みです。代表的なものを以下に整理します。
| 生体認証の種類 | 特徴 | 想定される操作例 |
|---|---|---|
| 指紋認証 | 指紋のパターンを照合 | 指紋をリーダーにかざす |
| 顔認証 | 顔の形や目・鼻の位置を認識 | カメラを正面から見る |
| 静脈認証 | 手のひらなどの静脈パターンを照合 | 専用装置に手をかざす |
| 虹彩認証 | 目の虹彩模様を読み取る | カメラに目を向ける |
こうした認証を利用する場合、まずは一度「登録(初回設定)」を行います。登録後は、同じ身体的特徴を使って認証システムが本人かどうかを確認します。
流れとしては、「生体情報の取得」→「特徴点の抽出」→「テンプレートの作成」→「ログイン時の照合」というステップになります。
● PKIによる高度な本人確認とは
もうひとつの高度な認証技術として活用されているのが、**PKI(公開鍵暗号基盤)**です。これは、インターネット上で「なりすまし」を防ぐための信頼性の高い仕組みです。
PKIでは、信頼できる第三者機関から発行された電子証明書を使って認証を行います。具体的な流れは次のとおりです。
- 認証局が利用者の身元を確認し、電子証明書を発行
- 利用者がログイン時にその証明書を提示
- 取引先(証券会社など)がその証明書の正当性を確認
- 本人確認が完了
この方式は、IDやパスワードが盗まれても電子証明書のやり取りがなければ不正アクセスできないという仕組みのため、セキュリティの強度が高いと言われています。
● パスキーと従来型認証の違いと補完関係
新たに注目されているのが「パスキー」という認証方式です。これは、生体情報を端末内に安全に保存し、それを鍵のように使うパスワードレス型の認証です。
| 認証方式 | 主な特徴 |
|---|---|
| パスキー | ・パスワード不要 ・生体認証でログイン ・端末内で認証完結 |
| 従来型MFA | ・パスワード+SMSやアプリのワンタイムパスワードを組み合わせる ・フィッシングに弱い面もある |
パスキーは、生体認証の情報は端末から外に出ないという特徴があり、セキュリティリスクが抑えられます。加えて、パスワードのように記憶・管理する必要がないため、利便性にも優れているという評価があります。
一方で、従来型の多要素認証には一定の実績があり、利用者側の慣れもあるため、両者を組み合わせて活用するケースも増えています。
● 利便性と安全性、どうやって両立するか
セキュリティを強化すればするほど、どうしても操作は複雑になりがちです。たとえば、ログインのたびに複数の認証を求められると、ユーザーにとっては手間に感じられることもあるかもしれません。
そこで、最近では「リスクベース認証」や「行動生体認証」といったアプローチも注目されています。これは、通常と異なる環境からのアクセス時だけ追加認証を求めるなど、柔軟な仕組みでバランスをとる考え方です。
こうした技術を活用することで、安全性を維持しながらも、日常の取引における使いやすさを損なわない設計が求められています。
第3章 中小証券会社が直面するコスト負担とサイバー攻撃への備え
● 生体認証導入にはどれくらいのコストがかかる?
セキュリティを強化する流れのなかで、生体認証の導入が事実上求められるようになっています。ただし、これには小規模な証券会社にとって大きな負担となりうる費用が発生します。
具体的には、初期導入段階で数億円単位の投資が必要となり、その後の運用でも年間で億円規模のコストが継続的にかかると見込まれています。こうしたコスト構造は、事業規模の小さい企業にとっては無視できない要因です。
● ネット取引の参入や継続に影響は?
コスト負担が重くのしかかる中で、「自社単独での対応ではネット取引の継続が難しい」との声も聞かれています。実際に、現在オンライン取引を行っていない企業の中には「セキュリティ対応にかかる費用を考えると、新規参入のメリットが見いだせない」といった判断も出てきているようです。
こうした動きからは、生体認証を含む高度なセキュリティ対応が、中小証券会社にとって参入障壁になっている一面も読み取れます。
● 攻撃対象が“中堅・中小”にシフト?
最新の被害状況を見ると、大手が対応を強化したことにより、中堅・中小の証券会社が狙われやすくなっている傾向もあるようです。
そのため、証券会社自身が不審なアクセスをリアルタイムで検知・遮断する監視体制の強化を進める必要が出てきています。とはいえ、サイバー攻撃の手法も日々進化しており、専門家の間では「防御と攻撃のいたちごっこが続く」といった見方もあります。
このように、技術的な対策だけでなく、継続的な監視とアップデート体制の確保も重要なポイントです。
● 他業界との違いから見えてくる課題
銀行やクレジットカード会社などの業界では、過去に不正送金などの被害が多発したことを背景に、早い段階から多層的なセキュリティ対策が進められてきました。
一方、証券業界では、株式売買における利便性を優先してきた経緯もあり、多要素認証の導入が後回しになっていた側面があります。その結果として、現在では不正対策の成熟度にギャップが生じているといえるでしょう。
このような構造的な違いが、セキュリティ強化の進み具合に影響を与えている可能性もあります。
● 今後に向けて求められる連携と標準化
個々の証券会社が単独で対応を進めるのには限界があります。そこで注目されているのが、業界内でのガイドライン統一や、ノウハウの共有によるセキュリティ対策の標準化です。
たとえば、日本証券業協会を中心とした枠組みづくりにより、対応の質や水準を揃えていくことができれば、中小証券会社の負担軽減とセキュリティ強化の両立につながると考えられます。
サイバー攻撃が高度化し続ける中、個社ごとの工夫に加え、業界全体での連携や支援体制の構築がこれまで以上に重要になっていくかもしれません。
免責事項
本記事は一般的な情報提供を目的としたものであり、特定の証券会社や金融サービスの利用を推奨するものではありません。
制度や技術の内容は今後変更される可能性があります。実際の対応については、各証券会社や公的機関の最新情報をご確認ください。
コメント