近年、インターネットバンキングやクレジットカードの不正利用が後を絶ちませんが、2025年3月現在、楽天証券において不正ログインによる被害が確認され、投資家の間で大きな懸念と混乱が広がっています。今回の事件は、決して楽天証券だけの問題ではなく、どの金融機関、ひいてはインターネットサービスを利用する全ての人に関わる可能性のある深刻な事態と言えるでしょう。
本記事では、今回の楽天証券の不正ログイン事件の詳細、その巧妙な手口、そして私たち投資家が身を守るために取るべき対策について、投資のプロの視点から詳しく解説していきます。(『 バリュー株投資家の見方|つばめ投資顧問 バリュー株投資家の見方|つばめ投資顧問 』栫井駿介)
プロフィール:栫井駿介(かこいしゅんすけ)
株式投資アドバイザー、証券アナリスト。1986年、鹿児島県生まれ。県立鶴丸高校、東京大学経済学部卒業。大手証券会社にて投資銀行業務に従事した後、2016年に独立しつばめ投資顧問設立。2011年、証券アナリスト第2次レベル試験合格。2015年、大前研一氏が主宰するBOND-BBTプログラムにてMBA取得。
楽天証券で何が起こったのか?被害の実態
今回の不正ログイン事件では、何者かが利用者のIDとパスワードを入手し、不正にログインしたことが確認されています。被害の内容としては、利用者が保有していた国内株式が勝手に売却され、その資金で身に覚えのない中国株などが購入されているというものです。
被害額は一件あたり数百万円に及ぶケースも報告されています。注目すべき点は、不正ログイン後、資金が直接的に引き出されたわけではないということです。犯人は、あくまで口座内で株式を売買する形で取引を行っています。
なぜそんなことをする?犯人の目的は…
口座から直接金銭を奪い取るのではなく、わざわざ株の売買を行う犯人の目的は何なのでしょうか?
調査によると、この背景には中国株の株価を吊り上げるという意図がある可能性が高いと考えられています。犯人は、取引量の少ない低流動性の中国株を事前に安価で仕込んでおき、不正にログインした複数の口座を利用して大量に買い付けることで株価を意図的に上昇させ、高値で売り抜けて利益を得ている可能性があるのです。
これは、日本でいうところの相場操縦に該当する可能性のある悪質な犯罪行為です。
なぜ直接的な資金の引き出しではないのか?
証券口座から直接資金を引き出すことは、実は非常に困難です。銀行口座と同様に、本人確認が厳格に行われ、二段階認証(ワンタイムパスワードなど)が求められることが多いため、不正ログインした犯人がこのセキュリティを突破することは難しいと考えられます。
一方で、株の取引自体は、比較的短期間で頻繁に行われることもあり、その都度厳格な認証を求めてしまうと利用者の利便性を損なう可能性があります。
犯人は、この点を悪用し、資金の引き出しが難しい代わりに、株の取引を通じて間接的に利益を得ようとしたと考えられます。
巧妙な手口:フィッシング詐欺
今回の不正ログインの最も大きな原因となっているのが、フィッシング詐欺です。
フィッシング詐欺とは、楽天証券の公式サイトを装った偽のメールやSMSを送りつけ、そこに記載されたリンクをクリックさせることで偽のログインページに誘導する手口です。巧妙なことに、この偽のログインページは本物の楽天証券のサイトと見分けがつかないほど精巧に作られています。
被害者は、偽のログインページにIDやパスワードを入力してしまうことで、それらの情報が犯人に盗まれてしまいます。さらに悪質なケースでは、ログイン後、取引パスワードまで求められることがあり、これを入力してしまうと、不正な取引を許してしまうことになります。本来、取引パスワードは実際の取引を行う際にのみ求められるものであるため、不審に感じるべきですが、巧妙な誘導により被害者は気付かないことが多いようです。
近年のフィッシング詐欺は、メールの文面も非常に自然な日本語で書かれており、ウェブサイトも本物と区別がつかないほど精巧にコピーされています。AIの進化も、より巧妙なフィッシング詐欺を生み出す一因となっている可能性も指摘されています。
出典:楽天証券
出典:楽天証券
フィッシング詐欺に騙されないために
残念ながら、偽のメールやSMSを見抜くことは非常に困難です。「URLが楽天になっているか」「メールアドレスが正規のものか」を確認するように言われても、実際に一つ一つ確認する人は少ないでしょう。
しかし、全く対策がないわけではありません。私が考える有効な対策は以下の通りです。
- ブックマークから公式サイトにアクセスする。不審なメールやSMSに記載されたリンクは絶対にクリックしないようにしましょう。
- IDやパスワードの自動入力機能を利用する。GoogleやAppleなどのパスワード管理機能は、登録されたドメインと異なる偽サイトでは自動的にIDやパスワードを表示しません。自動入力がされない場合は、そのサイトが正規のサイトではない可能性が高いと疑うべきです。
従来のパスワードに関するセキュリティ対策(推測されにくいパスワードの使用、使い回しを避ける、定期的な変更など)も重要ではありますが、フィッシング詐欺によって直接IDやパスワードが盗まれてしまうケースでは、その効果は限定的と言わざるを得ません。
Next: 最も重要な対策は?被害に遭ってしまった場合の対応も
