フィッシング詐欺にご注意を（４）

～最近の証券口座乗っ取りの話題から～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2025.5.14

（更新：2025.11.17）

有名企業や権威ある公的機関などを騙ったメールで偽サイトへ誘導し、個人情報やパスワード情報等を騙し取るフィッシング詐欺が多発しています。

特に最近、マスコミをにぎわせているのは、「証券口座乗っ取り」＝証券口座が乗っ取られ、株を勝手に取引される被害です。

〇証券会社を装うフィッシング詐欺の例

新ＮＩＳＡ（小額投資非課税制度）によってネット証券口座を開設する人が急増しました。

アプリやシステムの操作に慣れていなかったり、購入後に口座を放置してしまったりしているユーザーの手元にも、以下のような偽の連絡＝フィッシングメールやＳＭＳ（ショートメッセージ）が到来することがあります。

「現在、お客様の証拠金維持率が危険水準に低下しており、強制ロスカット（強制決済）が発生する可能性がございます。速やかにご対応くださいますようお願いいたします。」

攻撃者は上記のように正規の証券会社を装い、ユーザーの不安をあおり、本文に記されたURLを開くよう誘導します。

URLを開くと、本物の証券サイトそっくりのログイン画面が表示されます。

指示通りユーザーIDやログインパスワード、さらには株取引に使用する取引パスワードを入力してしまうと、攻撃者に証券口座が乗っ取られ、勝手に利用されてしまいます。

〇2段階認証を突破する攻撃者も

偽サイトにログイン情報が入力されると、攻撃者側ではその情報を利用してリアルタイムに本物のサイトにログインし、発行されるワンタイムパスワードなどをユーザーに転送することで2段階認証も突破するケースが昨今では報告されています。

2段階認証を設定する方が、ID＋パスワードの単独の認証よりセキュリティ強度は確実に高まりますが、2段階認証であっても十分注意する必要がある点は理解する必要があります。

〇対策：落ち着いて、フィッシングメール本文中のURLは開かないで

メールやSMSの文章で驚かせ、不安をあおることで私達の冷静な判断を阻害し、情報を窃取することが攻撃者の狙いです。

そのようなメッセージが来てもそれは「だましのテクニック」だと理解し、まずは落ち着きましょう。攻撃者の言いなりになる必要はありません。

フィッシングメールへの対策として、以下のような内容にご留意ください。

・普段から公式の利用サイトURLをブックマークしておき、たとえ不安をあおるメールやSMSが到来しても、文中に示されたURLはクリックしないようにしましょう。

・現在どのようなフィッシング詐欺の手口が横行しているのか、ネットの検索やマスコミの情報、警察庁、IPA（独立行政法人情報処理推進機構）など信頼できる公的機関が発信する情報を参照・活用するなど情報収集にも注意を払いましょう。

＊ご参考ブログ：脅威や攻撃の手口を知り、対策に活かす

〇もしも被害を受けたら：一人で悩まず相談を

警察関係諸機関も手をこまねいているわけではなく、サイバー犯罪組織を撲滅すべく、世界的な連携と包囲網が進行中ですが、その一方「フィッシングメール」など詐欺や攻撃の手口は時間とともに巧妙化しています。

もしも被害を受けたら、一人で悩まず警察、国民生活センター、該当の金融機関、地域の消費生活センター等へ相談しましょう。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。