証券会社の不正アクセス|FIRE済エンジニアが考える「今後のリスクと口座の守り方」

Posted on 投稿者: FIREマニア
Index

筆者について

筆者は、25年以上のエンジニア経験があります。また、大規模な業務システムも豊富に経験しています。その知見をもとに、今回の証券会社への不正アクセス問題について、どのように捉えて、今後、どうするべきか考えを述べます。

被害状況の深刻さ

2025年に入ってから、証券会社への不正アクセスおよび不正取引の件数が短期間に急増しています。金融庁が公表しているデータによれば、2025年2月から4月16日までのわずか3か月弱で、3,312件の不正アクセスと1,454件の不正取引が確認されました。

引用元:金融庁 https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html

全口座数からすると被害を受ける確率は少ないと考える人もいますが、短期間に発生し、増加傾向にあります。この状況は、決して「確率が低いから大丈夫」と油断できるレベルではありません。また、悪意ある側がさらに効率化すれば、今後さらに被害が増える可能性も否定できません。

セキュリティホール

現在判明している主な問題点を整理すると以下のとおりです。

楽天証券

  • 二段階認証は回数制限なしで簡単に突破可能
  • スマートフォンアプリ経由では二段階認証を回避可能

この状況からは、以降で説明するキュリティテストを実施していないのでは?という懸念を持たざるを得ません。仮に実施していないとすれば、他にも見つかっていない脆弱性が潜んでいる可能性があります。

SBI証券

  • バックアップサイト経由で二段階認証を回避可能
  • 当初は5月30日に封鎖予定だったが、クレームを受けて5月2日に前倒し

この対応の遅さからは、パスワードが漏洩するケースはレアと考えていた可能性があり、セキュリティリスクの認識の甘さが疑われます。

問題の根本的原因

セキュリティテスト&監査の不足

通常、システム開発では意図的にアタックして、脆弱性を検知するために、セキュリティテスト&監査を実施します。今回の上記のセキュリティホールは、簡単にチェックできるもので、セキュリティテスト未実施を疑わざる得ないものです。万が一これが疎かになっていれば、見えていない脆弱性(※1)が多数残っている可能性があります。

セキュリティテストは非常に重要であると同時に、非常に大変な作業です。

たとえば、以下のような工程を丁寧に行う必要があります:

計画準備実施レビュ

この一連の流れには数ヶ月単位の時間と、専門的知識を持つ人員の確保が必要です。

(※1)例えば、セッションハイジャックで2段階認証を破られる等
2段階認証が突破される仕組みはこちら↓

セキュリティ|2段階認証はなぜ突破されるのか?

マネジメント力の欠如

現場には優秀なエンジニアもいれば、経験の浅い担当者も混在しており、どんなシステム開発でもバグの発生自体は避けられないことは当たり前ことです。そうしたバグを見逃さないための仕組みが整備されておらず、チェック体制が甘かったこと、さらにマネジメント層のセキュリティに対する理解不足が問題であったと考えています。
楽天証券やSBI証券で発生した問題は、高度な攻撃によるものではなく、初歩的な確認不足が原因です。高度な攻撃ならマネジメント職の人にとって専門外なのは、ある程度、仕方ないと思います。しかし、今回のような事象はマネジメント力で対処するべきものです。

2月に不正アクセスの問題が発覚してから、5月までの約3か月間にわたって問題が放置されていたことも重大です。しかも問題を発見したのは、ユーザー側であり、これはシステム開発の現場において最も恥ずべき事態です。なぜ2月の時点で直ちに確認と対処を行わなかったのか。この点についても、技術的な問題ではなく、マネジメントの不備が大きな要因であったと考えます。

今後の私の口座運用方針

今回の一連の事件を受けて、以下のような結論に至りました。

ポイント

  • たとえ、今見えているセキュリティホールを潰しても、セキュリティテスト&監査が未実施の場合、今見えていないホールがまだ存在する可能性がある
  • テスト&監査の実施には数ヶ月を要するため、仮に今から対応を開始しても、すぐには安心は得られない
  • SBI証券はバックアップサイトを封鎖済みのため、これが原因であったなら、5月以降は不正アクセスが大幅に減少する可能性がある

口座運用方針

運用方針

  • 楽天証券は最低でも3か月間、全取引ロックを実施
  • SBI証券については、今後の不正アクセス件数の推移を見ながら、必要な取引に限って段階的にロック解除

※取引のロック手順はこちら↓

【緊急対応】証券口座をロックする方法|楽天証券・SBI証券編
  • 取引履歴は1日1回は必ずチェックする。

取引履歴確認の手順はこちら↓

セキュリティ|SBI証券と楽天証券の注文履歴・約定履歴の表示方法【備忘録】
  • 上記により機会損失が発生する可能性があるが、現在は異常状態と捉え、セキュリティを優先する。
  • 各社が推奨するセキュリティ設定は必ず厳守する。厳守していなければ補償が得られない可能性がある。

証券会社の状況確認

現在のセキュリティ体制の甘さは、想定外の手口に対する油断が一因かもしれません。たとえば、「中国株を使った利益目的の不正取引」というアプローチは想定外だった思います。また、証券口座の性質上、他人の口座に出金できないことから狙われにくいと考えた可能性もあると思います。その心理は理解できなくはありませんが、セキュリティ上の見落としが許される話ではありません。

今後、以下の点を注視し、各証券会社の対応が信頼に足るものかを見極めていきます。

  • 各社がどのような対策方針を示し、実際に実行していくか
  • セキュリティ対策や被害状況について、透明性をもって迅速に情報公開する姿勢があるか

なお、今回名前が挙がった2社はいずれも、基本的には顧客にとって非常に優れたサービスを提供していると感じています。今後の対応が適切であれば、再び信頼を置けると考えています。しかし、適切でなければ、他の証券会社への移管も考えます。

まとめ

以前より、証券会社のセキュリティ対策について、不安がありました。今回の件で改善されれば、より安心して投資に専念できると前向きに考えたいです。

証券会社の対応には今後も注視が必要です。投資家としても、「自分の資産は自分で守る」姿勢がますます重要になってきています。

顔画像
FIREマニア

X(旧Twitter)で実践テクを発信中
今すぐフォローして、あなたのFIRE計画を加速!

To Page Top