最近ではSBI証券や楽天証券、松井証券といった手軽に利用しやすいネット証券サービスが提供されています。お金を扱う以上、銀行レベルの強固なセキュリティが要求され、ユーザーも証券会社を信用していました。しかしながら2025年には楽天証券を中心に証券口座の乗っ取りが発生し大きな話題になりました。
なんとこの被害は有名な個人投資家であるテスタさんも被害に遭ったことでも知られており、証券会社各社のセキュリティが大きく問題視されるようになりました。
本記事ではテスタさんの乗っ取り被害を例に、証券口座乗っ取りのリスクや被害、安全な投資方法などについて紹介していきます。
口座乗っ取り被害の概要
2025年5月1日にテスタ氏はX(旧Twitter)で証券口座の乗っ取り被害に遭ったと投稿しました。証券会社名(楽天証券)や乗っ取り口座の発覚経緯にも触れ、その後の二段階認証の実効性に疑義を呈しました。後続の報道でも乗っ取り被害の被害の公表と経緯が整理され、金銭的損失はなかった旨の続報も出ています。
テスタ氏の投資スタイルは、2005年の開始当初はデイトレ中心→近年は中長期・高配当・米国株も取り入れる形へ拡張していることで知られており、個人投資家の界隈の中でも屈指のインフルエンサーで被害を受けたことによる衝撃は大きいといえます。
テスタ氏の口座に何が起きた?
口座乗っ取り被害があった当日朝に二段階認証の確認メールが届き不審を察知しました。その後に注文履歴を確認すると前夜に心当たりのない注文があり、パスワード変更と口座ロックの連絡で終息した、という本人の説明がX上に残っています。
各社メディアもこの投稿を引用し、本人談として「被害は公表時点で金銭面に及ばず」「ウイルス対策ソフトは入れていたが流出経路は不明」などのポイントを伝えました。
口座乗っ取りの背景
証券口座の乗っ取り被害に対して金融庁は2025年春、不正アクセス・不正取引の急増を公表しました。1〜5月累計で不正アクセスが10,422件、不正取引5,958件、売買総額5,240億円に達したとする統計や、フィッシングサイトやマルウェアによる情報窃取への注意喚起を示しました。
併せて報道では、2〜4月の約3か月で被害が1,454件に膨張した局面もフォローされ、各社の補償方針やMFA(多要素認証)必須化へ対応が進展しています。
楽天証券の対応
口座乗っ取りの被害が発生した証券会社としては、楽天証券などが挙げられます。この被害の対策として楽天証券は2025年6月1日からログイン追加認証(多要素認証)を全チャネル必須化することになりました。また2025年7月には不正アクセス被害の補償方針(原則50%を基本、個別確認のうえ)を公表しています。利用者側も、認証の初期設定・変更通知・ログイン履歴確認など提供されている防御機能のフル活用が前提になります。
個人で出来る対策
証券口座の乗っ取りの被害は主に、フィッシングによりログイン情報が流出することから発生することが多いです。その主な対策としては、メールやSMS内のリンクから絶対にログインせず、公式アプリやブックマーク経由でアクセスすることが重要です。
例としては楽天証券をかたる偽サイトは継続的に報告されており、見分けが困難なため入口を自分で固定するのが安全です。また、口座乗っ取り被害を受けて、楽天証券では二段階認証を実装したように、認証強化を実施するのも対策の一つです。さらに、OSとブラウザ、セキュリティソフトを常に最新にすることも対策の基本です。これらの対策は金融庁・フィッシング対策協議会の推奨と一致します。
口座を乗っ取られるとどうなるのか?
実際に証券口座を乗っ取られるとどうなるのでしょうか?口座乗っ取りに関する不正は多くが「通知」から露見します。深夜や海外IPによるログイン通知、覚えのない二要素認証要求、登録メールや電話番号、住所の変更連絡などが連鎖し、取引履歴を見ると身に覚えのない成行・逆指値注文、信用建玉の新規や返済、投信の解約・買付が並ぶといった流れが典型です。原因はフィッシング、マルウェア、SIMスワップ等のルートがあります。犯行側は先に出金先や通知先を変更して痕跡を薄め、価格変動が大きい銘柄やレバレッジ取引で短期に現金化を図る傾向があります。
被害の範囲
乗っ取りに伴う実害は、勝手な売買による評価損・確定損、信用取引の追証・金利手数料、不正出金(登録口座を差し替えられた場合)などによる金銭的な被害が第一に挙げられます。また、情報面では氏名・住所・マイナンバー写し等の個人情報流出、ログインIDの再利用攻撃で他サービス被害へ波及する場合もあります。さらに事務面においては、売買明細の整理、確定申告上の整合、口座凍結中の機会損失、警察・証券会社・カード会社への届け出対応などの手間が付随してしまいます。発覚してすぐにできる対策は早期に口座ロックを行い、端末のマルウェア検査と通知設定の強化まで一気通貫で対処するのが基本です。
効果の高い対策
こういった被害を防ぐために一番確実な対策はブックマーク、もしくは公式アプリからのみログインするのが基本です。さらにアプリ型OTPや生体連携のMFAを有効化し、ログインや取引通知をオンにしておくと乗っ取り被害に気づきやすくなります。また出金先口座の事前登録・出金制限を設定し、新規デバイス認証は厳格にしておきましょう。しかしながらメールOTPやSMSをフィッシングで抜かれるケースは現実にあります。より堅牢なのはアプリ型OTPと生体FIDO系を利用するのが確実です。また、デバイス認証のみやメールOTPのみといった弱いMFAの組み合わせは攻撃に脆弱になりがちなので注意しましょう。
まとめ
証券口座の乗っ取り被害は、2025年になって広く被害が知られるようになりました。その被害は有名な個人投資家のテスタ氏でも受けてしまい、だれでも口座乗っ取りを受けてしまうリスクは大いにあります。証券口座が乗っ取られると、多額の資金を失ってしまうことにもなり、その対策は必須です。二段階認証などの証券口座ログインに関する対策は必須であり、加えて一般的なフィッシング詐欺やマルウェア、ウイルス対策を組み合わせて万全を期すようにすることが求められます。