近年、インターネットバンキングやクレジットカードの不正利用が後を絶ちませんが、2025年3月現在、楽天証券において不正ログインによる被害が確認され、投資家の間で大きな懸念と混乱が広がっています。今回の事件は、決して楽天証券だけの問題ではなく、どの金融機関、ひいてはインターネットサービスを利用する全ての人に関わる可能性のある深刻な事態と言えるでしょう。
本記事では、今回の楽天証券の不正ログイン事件の詳細、その巧妙な手口、そして私たち投資家が身を守るために取るべき対策について、投資のプロの視点から詳しく解説していきます。(『 バリュー株投資家の見方|つばめ投資顧問 バリュー株投資家の見方|つばめ投資顧問 』栫井駿介)
プロフィール:栫井駿介(かこいしゅんすけ)
株式投資アドバイザー、証券アナリスト。1986年、鹿児島県生まれ。県立鶴丸高校、東京大学経済学部卒業。大手証券会社にて投資銀行業務に従事した後、2016年に独立しつばめ投資顧問設立。2011年、証券アナリスト第2次レベル試験合格。2015年、大前研一氏が主宰するBOND-BBTプログラムにてMBA取得。
楽天証券で何が起こったのか?被害の実態
今回の不正ログイン事件では、何者かが利用者のIDとパスワードを入手し、不正にログインしたことが確認されています。被害の内容としては、利用者が保有していた国内株式が勝手に売却され、その資金で身に覚えのない中国株などが購入されているというものです。
被害額は一件あたり数百万円に及ぶケースも報告されています。注目すべき点は、不正ログイン後、資金が直接的に引き出されたわけではないということです。犯人は、あくまで口座内で株式を売買する形で取引を行っています。
なぜそんなことをする?犯人の目的は…
口座から直接金銭を奪い取るのではなく、わざわざ株の売買を行う犯人の目的は何なのでしょうか?
調査によると、この背景には中国株の株価を吊り上げるという意図がある可能性が高いと考えられています。犯人は、取引量の少ない低流動性の中国株を事前に安価で仕込んでおき、不正にログインした複数の口座を利用して大量に買い付けることで株価を意図的に上昇させ、高値で売り抜けて利益を得ている可能性があるのです。
これは、日本でいうところの相場操縦に該当する可能性のある悪質な犯罪行為です。
なぜ直接的な資金の引き出しではないのか?
証券口座から直接資金を引き出すことは、実は非常に困難です。銀行口座と同様に、本人確認が厳格に行われ、二段階認証(ワンタイムパスワードなど)が求められることが多いため、不正ログインした犯人がこのセキュリティを突破することは難しいと考えられます。
一方で、株の取引自体は、比較的短期間で頻繁に行われることもあり、その都度厳格な認証を求めてしまうと利用者の利便性を損なう可能性があります。
犯人は、この点を悪用し、資金の引き出しが難しい代わりに、株の取引を通じて間接的に利益を得ようとしたと考えられます。
巧妙な手口:フィッシング詐欺
今回の不正ログインの最も大きな原因となっているのが、フィッシング詐欺です。
フィッシング詐欺とは、楽天証券の公式サイトを装った偽のメールやSMSを送りつけ、そこに記載されたリンクをクリックさせることで偽のログインページに誘導する手口です。巧妙なことに、この偽のログインページは本物の楽天証券のサイトと見分けがつかないほど精巧に作られています。
被害者は、偽のログインページにIDやパスワードを入力してしまうことで、それらの情報が犯人に盗まれてしまいます。さらに悪質なケースでは、ログイン後、取引パスワードまで求められることがあり、これを入力してしまうと、不正な取引を許してしまうことになります。本来、取引パスワードは実際の取引を行う際にのみ求められるものであるため、不審に感じるべきですが、巧妙な誘導により被害者は気付かないことが多いようです。
近年のフィッシング詐欺は、メールの文面も非常に自然な日本語で書かれており、ウェブサイトも本物と区別がつかないほど精巧にコピーされています。AIの進化も、より巧妙なフィッシング詐欺を生み出す一因となっている可能性も指摘されています。
出典:楽天証券
出典:楽天証券
フィッシング詐欺に騙されないために
残念ながら、偽のメールやSMSを見抜くことは非常に困難です。「URLが楽天になっているか」「メールアドレスが正規のものか」を確認するように言われても、実際に一つ一つ確認する人は少ないでしょう。
しかし、全く対策がないわけではありません。私が考える有効な対策は以下の通りです。
- ブックマークから公式サイトにアクセスする。不審なメールやSMSに記載されたリンクは絶対にクリックしないようにしましょう。
- IDやパスワードの自動入力機能を利用する。GoogleやAppleなどのパスワード管理機能は、登録されたドメインと異なる偽サイトでは自動的にIDやパスワードを表示しません。自動入力がされない場合は、そのサイトが正規のサイトではない可能性が高いと疑うべきです。
従来のパスワードに関するセキュリティ対策(推測されにくいパスワードの使用、使い回しを避ける、定期的な変更など)も重要ではありますが、フィッシング詐欺によって直接IDやパスワードが盗まれてしまうケースでは、その効果は限定的と言わざるを得ません。
Next: 最も重要な対策は?被害に遭ってしまった場合の対応も
最も重要な対策:二段階認証(ログイン追加認証)の設定
フィッシング詐欺に万が一引っかかってしまったとしても、被害を最小限に食い止めるために最も重要な対策が、二段階認証(2要素認証)の設定です。楽天証券では、「ログイン追加認証」という名称で提供されています。
これは、IDとパスワードに加えて、登録したメールアドレスに送信される認証コードを入力することで、初めてログインが完了する仕組みです。たとえIDとパスワードが盗まれても、この追加の認証を突破されない限り、不正なログインを防ぐことができます。
楽天証券のログイン追加認証の設定は、楽天証券のウェブサイトまたはアプリの「お客様設定・変更」にある「セキュリティ設定」から行うことができます。まだ設定がお済みでない方は、今すぐに設定を行うことを強く推奨します。
出典:楽天証券
被害に遭ってしまった場合の対応
もし、身に覚えのない取引に気づいたら、直ちに楽天証券に連絡してください。現在、問い合わせが殺到している可能性もありますが、諦めずに連絡を取り続けることが重要です。
クレジットカードの不正利用の場合、カード会社が被害を補償してくれるケースがありますが、証券口座の場合、原則として不正ログインによる損害は補償の対象とならない規約になっていることが多いようです。しかし、今回の事件の社会的な影響を考慮し、楽天証券が個別に何らかの対応を行う可能性も示唆されています。まずは状況をしっかりと確認し、証券会社の指示に従うようにしてください。
楽天証券に限った話ではない
今回の不正ログイン事件は楽天証券で発生しましたが、同様の手口は他の証券会社や金融機関でも起こりうるものです。特に、利用者の多い大手証券会社は、犯人にとって格好の標的となりやすいと言えるでしょう。
全ての投資家が、今回の事件を教訓に、自身のセキュリティ対策を見直し、強化することが不可欠です。
おわりに
金融犯罪の手口は日々巧妙化しており、私たち個人が完全に防ぐことは難しいかもしれません。しかし、知識を持ち、適切な対策を講じることで、被害を最小限に抑えることは可能です。
今回の事件を過度に恐れて投資をやめてしまうのではなく、しっかりと対策を行った上で、賢く投資と向き合っていくことが大切です。また、証券業界全体としても、セキュリティ対策の強化をさらに進めていくことが求められます。
※上記は企業業績等一般的な情報提供を目的とするものであり、金融商品への投資や金融サービスの購入を勧誘するものではありません。上記に基づく行動により発生したいかなる損失についても、当社は一切の責任を負いかねます。内容には正確性を期しておりますが、それを保証するものではありませんので、取り扱いには十分留意してください。
『 バリュー株投資家の見方|つばめ投資顧問 バリュー株投資家の見方|つばめ投資顧問 』(2025年3月26日号)より※記事タイトル・見出しはMONEY VOICE編集部による
無料メルマガ好評配信中
バリュー株投資家の見方|つばめ投資顧問
[無料 ほぼ 平日刊]
【毎日少し賢くなる投資情報】長期投資の王道であるバリュー株投資家の視点から、ニュースの解説や銘柄分析、投資情報を発信します。<筆者紹介>栫井駿介(かこいしゅんすけ)。東京大学経済学部卒業、海外MBA修了。大手証券会社に勤務した後、つばめ投資顧問を設立。