証券口座の不正ログインから考える、フィッシング耐性MFAの必要性

証券口座の不正ログインや不正取引が、金融機関・証券会社・投資家にとって大きな問題になっています。

実在する証券会社を装った偽サイトや偽アプリに利用者を誘導し、ログインID、パスワード、ワンタイムパスワードなどを入力させ、その情報を使って証券口座へ不正アクセスする手口が確認されています。

特に問題なのは、単にログインされるだけではなく、口座内の株式等を勝手に売却し、その資金で別の株式等を買い付けるような不正取引に発展する点です。

このような被害を防ぐためには、ID・パスワードの管理だけでは不十分です。

SMS認証やワンタイムパスワードを導入していても、フィッシングサイトに認証コードを入力してしまえば、攻撃者にリアルタイムで悪用される可能性があります。

そこで重要になるのが、パスキーなどの「フィッシング耐性MFA」です。

この記事では、証券口座の不正ログインで何が起きているのか、従来型MFAではなぜ防ぎきれない場合があるのか、金融・証券・決済アプリ運営企業が確認すべき対策を解説します。

証券口座の不正ログインとは?

証券口座の不正ログインとは、第三者が利用者本人になりすまして、証券会社のインターネット取引サービスへログインする行為です。

不正ログインに使われる情報としては、次のようなものがあります。

  • ログインID
  • パスワード
  • 取引パスワード
  • ワンタイムパスワード
  • SMS認証コード
  • メール認証コード
  • 本人確認情報

攻撃者は、これらの情報を使って証券口座にログインし、保有株式の売却、別銘柄の買付、登録情報の確認・変更などを行う可能性があります。

銀行口座の不正送金と異なり、証券口座では「株式等を売買する」という形で不正利用されることがあります。

証券口座の不正ログインで起きること

証券口座の不正ログインでは、次のような被害が想定されます。

  • 保有株式や投資信託が勝手に売却される
  • 売却代金で別の株式等を買い付けられる
  • 口座内の資産状況を閲覧される
  • 登録メールアドレスや電話番号を変更される
  • 出金先口座の変更を試みられる
  • 他サービスへの不正ログインに情報を悪用される

不正取引の厄介な点は、被害者の資産が単純に外部へ送金されるだけではなく、口座内で売買操作が行われることです。

金融庁の注意喚起でも、多くの場合、不正行為者が被害口座内の株式等を売却し、その売却代金で国内外の小型株等を買い付ける手口が説明されています。

この場合、被害者の口座には意図しない銘柄が残ることになり、相場変動による損失、売買手数料、税務上の扱い、補償対応など、複雑な問題に発展する可能性があります。

なぜ証券口座が狙われるのか

証券口座が狙われる理由は、単に金融資産があるからだけではありません。

攻撃者にとって、証券口座には次のような特徴があります。

  • 株式や投資信託などの資産がある
  • インターネット上で売買操作ができる
  • ログイン後に重要操作が可能になる
  • 新NISAなどにより利用者層が広がっている
  • 投資初心者や高齢者も利用している
  • 証券会社を装った通知が本物に見えやすい

特に、証券会社からのお知らせ、約定通知、入出金通知、本人確認通知などは、利用者にとって見慣れた文面になりやすいため、偽メールや偽SMSにだまされるリスクがあります。

攻撃者は「不正ログインを検知しました」「本人確認が必要です」「取引制限を解除してください」などの文面で不安をあおり、偽サイトへ誘導します。

主な手口:リアルタイムフィッシング

証券口座の不正ログインで特に注意したいのが、リアルタイムフィッシングです。

リアルタイムフィッシングとは、利用者が偽サイトに入力した情報を、攻撃者がすぐに正規サイトで悪用する手口です。

典型的には、次のような流れになります。

  1. 証券会社を装ったメールやSMSが届く
  2. 利用者がメール内のリンクを開く
  3. 本物そっくりの偽ログイン画面が表示される
  4. ID・パスワードを入力してしまう
  5. 続けてワンタイムパスワードの入力画面が表示される
  6. 入力されたOTPを攻撃者が正規サイトで即時利用する
  7. 証券口座に不正ログインされる
  8. 不正取引や登録情報変更が行われる

この手口では、ワンタイムパスワードが「一度だけ使える」こと自体は正しくても、入力された直後に攻撃者が使ってしまうため、被害を防ぎきれない場合があります。

つまり、OTPやSMS認証は有効な対策ではあるものの、フィッシングサイトに入力される前提では弱点が残ります。

従来型MFAの限界

MFAとは、多要素認証のことです。

パスワードだけでなく、SMS認証、認証アプリ、メール認証、ハードウェアトークン、生体認証などを組み合わせることで、本人確認を強化します。

しかし、MFAにも種類があります。

すべてのMFAが同じ強度を持つわけではありません。

方式概要主な弱点
SMS認証SMSで届くコードを入力するフィッシング、SIMスワップ、SMS盗み見
メール認証メールで届くコードやリンクを使うメールアカウント乗っ取り、フィッシング
OTP一度だけ使える認証コードを入力するリアルタイムフィッシングで悪用される可能性
プッシュ通知スマホアプリで承認する認証疲れ、誤承認、端末乗っ取り
パスキー公開鍵暗号を使ったパスワードレス認証復旧設計、端末管理、移行設計が重要

従来型MFAの多くは、ユーザーが「認証コードを見て入力する」方式です。

この場合、偽サイトが本物そっくりに作られていると、ユーザーがコードを入力してしまう可能性があります。

そのため、証券口座や金融アプリでは、単にMFAを導入するだけでなく、フィッシング耐性があるかどうかを確認する必要があります。

フィッシング耐性MFAとは?

フィッシング耐性MFAとは、偽サイトに誘導されても認証情報を盗まれにくい多要素認証のことです。

代表的な方式として、パスキーやFIDO/WebAuthn、PKIベースの認証などがあります。

これらの方式では、認証情報が正規のWebサイトやアプリにひもづくため、偽サイトでは同じように使えません。

たとえばパスキーでは、ユーザーが指紋認証や顔認証、端末PINで認証しますが、パスワードやOTPのような文字列を人が見て入力するわけではありません。

そのため、偽サイトにID・パスワードやOTPを入力させるタイプの攻撃に強い特徴があります。

パスキーが証券口座の不正ログイン対策で注目される理由

パスキーは、パスワードを使わずにログインできる認証方式です。

ユーザーは、スマートフォンやPCのロック解除と同じように、指紋認証、顔認証、端末PINなどで本人確認を行います。

パスキーが証券口座の不正ログイン対策で注目される理由は、次の通りです。

  • パスワードを入力しないため、偽サイトに盗まれにくい
  • 認証情報が正規サイト・アプリにひもづく
  • OTPのように認証コードを入力しない
  • パスワード使い回しの影響を受けにくい
  • ログイン体験を改善しやすい

証券会社や金融アプリでは、パスキーのようなフィッシング耐性MFAを導入することで、リアルタイムフィッシングによる口座乗っ取りリスクを下げられる可能性があります。

フィッシング耐性MFAを導入すれば十分なのか

フィッシング耐性MFAは強力な対策ですが、これだけで十分というわけではありません。

証券口座や金融アプリでは、ログイン後の操作も守る必要があります。

たとえば、次のような操作は高リスク操作として扱うべきです。

  • 株式や投資信託の売却
  • 高額な買付
  • 出金
  • 出金先銀行口座の変更
  • 登録メールアドレスの変更
  • 電話番号の変更
  • 認証方式の変更
  • 新しい端末の登録

ログイン時の認証が強くても、ログイン後に重要操作が無制限にできる設計ではリスクが残ります。

そのため、フィッシング耐性MFAは、重要操作時の追加確認、端末リスク確認、異常取引検知、通知、インシデント対応と組み合わせる必要があります。

金融・証券アプリで確認すべき対策

1. ログイン時の認証をフィッシング耐性MFAへ移行しているか

まず確認すべきは、ログイン時の認証方式です。

ID・パスワード、SMS認証、OTPだけに依存している場合、リアルタイムフィッシングに対して弱点が残ります。

パスキーやFIDO/WebAuthnなど、フィッシング耐性のある方式への移行を検討すべきです。

2. 重要操作時にも追加認証を行っているか

不正ログイン対策では、ログイン時だけでなく、ログイン後の重要操作を守ることが重要です。

特に、出金、出金先口座変更、保有商品の売却、高額取引、登録情報変更などでは、追加認証やリスク判定を行うべきです。

3. 端末リスクを確認しているか

金融・証券アプリでは、端末そのものの安全性も重要です。

Root化・Jailbreak端末、不正アプリ、マルウェア、エミュレーター、アプリ改ざんなどが存在する場合、通常端末と同じ信頼度では扱えません。

モバイルアプリ側で端末状態や実行環境を確認する設計が必要です。

4. 異常ログイン・異常取引を検知できるか

認証を強化しても、すべての不正を完全に防げるわけではありません。

普段と異なる端末、IPアドレス、地域、時間帯、操作パターン、大量売買、短時間の連続取引などを検知し、リスクが高い場合は追加確認や一時保留を行う設計が重要です。

5. ユーザー通知を強化しているか

ログイン、端末追加、認証方式変更、出金先変更、取引実行などのタイミングで、ユーザーへ通知することも重要です。

通知が早ければ、利用者本人が身に覚えのない操作に気づきやすくなります。

6. アカウント復旧経路が弱点になっていないか

パスキーや強力なMFAを導入しても、アカウント復旧が弱いと、そこが攻撃対象になります。

「メールだけで再設定できる」「SMSだけで復旧できる」「本人確認が甘い」といった設計では、認証強化の効果が薄れる可能性があります。

アカウント復旧では、本人確認、登録済み端末、過去の利用状況、リスクスコアなどを組み合わせることが重要です。

利用者向けに伝えるべき注意点

企業側の技術対策とあわせて、利用者向けの注意喚起も欠かせません。

証券会社や金融アプリを運営する企業は、次のような内容を公式サイト・公式アプリ内でわかりやすく伝えるべきです。

  • メールやSMS内のリンクからログインしない
  • 公式アプリやブックマークからアクセスする
  • パスキー等が提供されたら速やかに設定する
  • OTPやSMS認証コードを第三者に伝えない
  • 普段と違うログイン画面や追加入力画面に注意する
  • 身に覚えのない取引や通知があればすぐ連絡する
  • パスワードを使い回さない
  • 端末やセキュリティソフトを最新状態に保つ

特に、フィッシング対策では「メール内のリンクを確認する」よりも、「公式アプリ・ブックマークからアクセスする」行動を定着させることが重要です。

企業向けチェックリスト

確認項目確認内容
認証方式パスキーなどフィッシング耐性MFAへの移行方針があるか
重要操作出金、出金先変更、売却、高額取引、認証変更時に追加確認しているか
リアルタイムフィッシング対策OTP入力型MFAだけに依存していないか
端末リスクRoot化・Jailbreak、不正アプリ、マルウェア、改ざんを確認できるか
異常検知普段と異なるログインや不審取引を検知できるか
通知ログイン、取引、設定変更をユーザーに即時通知できるか
復旧設計アカウント復旧が攻撃者に悪用されにくい設計になっているか
ユーザー教育公式アプリ・ブックマーク利用、メールリンク禁止を継続的に案内しているか

まとめ:証券口座の不正ログイン対策は、従来型MFAからフィッシング耐性MFAへ

証券口座の不正ログイン・不正取引では、フィッシングによってログインID、パスワード、ワンタイムパスワードなどを盗み取り、リアルタイムで悪用する手口が問題になっています。

SMS認証やOTPは、ID・パスワードだけより安全性を高めます。

しかし、偽サイトに認証コードを入力してしまうタイプの攻撃では、従来型MFAだけでは防ぎきれない場合があります。

そのため、証券口座や金融アプリでは、パスキーなどのフィッシング耐性MFAへの移行が重要になります。

ただし、フィッシング耐性MFAを導入すれば終わりではありません。

ログイン後の重要操作、端末リスク、異常取引検知、ユーザー通知、アカウント復旧、インシデント対応まで含めた多層的な対策が必要です。

金融・証券・決済アプリを運営する企業は、認証方式だけを見るのではなく、フィッシング後に何が起きるのか、どの操作を止めるべきか、どのタイミングで追加確認すべきかを整理しておきましょう。


よくある質問

証券口座の不正ログインとは何ですか?

証券口座の不正ログインとは、第三者が利用者本人になりすまして、証券会社のインターネット取引サービスへログインする行為です。フィッシングで盗まれたID、パスワード、ワンタイムパスワードなどが悪用されることがあります。

証券口座の不正ログインでは何が起きますか?

保有株式や投資信託を勝手に売却されたり、その売却代金で別の株式等を買い付けられたりする可能性があります。また、登録情報の変更や出金先口座の変更が試みられることもあります。

OTPやSMS認証を設定していても危険ですか?

OTPやSMS認証は有効な対策ですが、偽サイトに認証コードを入力してしまうと、攻撃者にリアルタイムで悪用される可能性があります。そのため、フィッシング耐性のある認証方式との組み合わせが重要です。

フィッシング耐性MFAとは何ですか?

フィッシング耐性MFAとは、偽サイトに誘導されても認証情報を盗まれにくい多要素認証のことです。代表例として、パスキーやFIDO/WebAuthnなどがあります。

パスキーは証券口座の不正ログイン対策に有効ですか?

パスキーは、公開鍵暗号を使ったパスワードレス認証で、正規サイトやアプリにひもづいて認証されるため、フィッシングに強い方式とされています。ただし、アカウント復旧や端末管理、重要操作時の追加確認もあわせて設計する必要があります。

企業はどのような対策をすべきですか?

パスキーなどのフィッシング耐性MFA、重要操作時の追加認証、端末リスク確認、異常ログイン・異常取引検知、ユーザー通知、アカウント復旧設計、公式アプリ・ブックマーク利用の案内が重要です。


参考情報

本記事は、金融庁、日本証券業協会、CISA、FIDO Allianceなどが公開している証券口座の不正アクセス、不正取引、フィッシング耐性MFA、パスキーに関する情報を参考に整理しています。

※証券口座や金融アプリの不正ログイン対策では、パスキーなどのフィッシング耐性MFAに加えて、重要操作時の追加認証、端末リスク確認、異常取引検知、ユーザー通知、アカウント復旧設計を組み合わせることが重要です。

あわせて読みたい