証券口座への不正アクセス、何が起きたのか?
SNS上で著名な個人投資家が「知らない銘柄を大量に買われていた」と投稿したことをきっかけに、ネット証券における不正ログイン被害が広く注目を集めました。
オンライン証券サービスの普及に伴い、個人投資家の利便性は向上しましたが、同時に新たなサイバーリスクも顕在化しています。
2025年に入り、日本国内のネット証券を中心に、不正アクセスによる被害が数千件規模で発生しました。単なる“資産の盗難”ではなく、市場全体に影響を及ぼすような“価格操作”を伴った被害が確認されており、従来の事件とは異なる深刻さを持っています。
2025年に発生している不正アクセスの急増
2025年2月以降、ネット証券を中心に急増したアカウント乗っ取り事件。
金融庁の発表によれば、わずか3ヶ月で6,000件を超える不正アクセス、3,400件以上の不正取引が報告され、不正に行われた売買の総額は3,000億円超に達しました。
(金融庁の発表をもとに作成)
背景には、認証情報の窃取手口の高度化、ユーザー側のセキュリティ対策の未整備、そして証券会社ごとの対策水準のばらつきがあるとみられています。
従来と異なる被害の特徴
従来の不正アクセス事件では、不正送金など“資金の直接的な引き出し”が主流でした。しかし、今回は、保有株式の勝手な売却や、流動性の低い銘柄の大量購入による価格操作、そして高値での売り抜けといった市場操作を狙った一連の不正な取引行動が確認されています。
この一連の流れは、これまで同様にフィッシングやマルウェアによって得られたID・パスワードが起点となっています。
ただ、フィッシングの手口がさらに巧妙化したことで、より広範囲に被害が及んだ点が特に問題視されています。
企業にとっての見落としがちなリスク
従業員の私的利用が企業リスクに波及する構図
「個人の問題」と片付けがちなネット証券の乗っ取り被害ですが、企業にとっても無関係ではありません。
たとえば、従業員が社内PCから私的にネット証券口座へアクセスしていた場合、フィッシングサイトやマルウェアに接触することで端末が感染し、そこから社内ネットワークに影響が及ぶリスクも考えられます。
万が一その端末が機密情報にアクセスできる環境であれば、そこから情報漏えいや社内システムへの不正侵入に繋がるリスクも懸念されます。
組織に潜む“死角”
多要素認証(MFA)の導入や、強固なパスワード管理といったユーザー単位でのセキュリティ対策は、確かに重要です。
▼ユーザー単位でのセキュリティ対策についてはこちらも参照ください。
『強い』認証を実現するために —パスワード認証の限界と実践的なセキュリティ対策
しかし、たとえば私的にネット証券口座へアクセスしていた端末が社内ネットワークに接続されていた場合、そのリスクはもはや個人の対策だけでは防ぎきれない領域に及びます。
セキュリティを実効性あるものにするためには、組織的な対策と統制が欠かせません。
たとえば、退職者や異動者のアカウントが削除されないまま残っていたり、すでに使われていない共有フォルダが誰でもアクセスできる状態で放置されていたりするような環境は、多くの企業で見られます。
このように、“直接の原因ではないが、結果として攻撃の足がかりとなるような死角”は、企業内のさまざまな箇所に潜んでいます。
情報が届かない”断絶のリスク”
死角”に加えて、組織内での情報伝達や意識共有の面でも、思わぬ抜け漏れがリスクを生むことがあります。
たとえば、証券会社から発信されている注意喚起や各種報道の深刻さを情報システム部門やセキュリティ部門の社員は把握していたとしても、現場の従業員は十分に認識していない可能性があります。
こうした“リスク認識のズレ”もまた、企業内で見落とされがちな盲点の一つです。
このような”死角”や”認識のズレ”が重なることで、本来防げたはずのリスクが付け入る隙となってしまう可能性があります。
組織が見直すべきポイント
セキュリティ対策は、「多層防御(Defense in Depth)」という考え方に基づき、技術的な防御だけでなく、制度・教育という複数のレイヤーを組み合わせてこそ機能します。
アクセス経路と端末の管理強化
まず着手すべきは、社内端末からのアクセス経路や利用状況の洗い出しです。
私的な証券取引を行うために業務端末が使われている場合、その端末が社内ネットワークとつながっていること自体がリスクになります。
アクセス制御の設定や、VPN・ファイアウォールの運用状況も含めて、“形式的に設定して終わり”になっていないかどうかを点検することが求められます。
こうしたネットワークの管理体制に加え、社内システムへのログイン認証の見直しも重要です。万が一、業務端末がマルウェアなどにより侵害された場合でも、社内システムへの不正アクセスを防ぐためには、MFA(多要素認証)の導入とその運用徹底が不可欠です。
セキュリティ対策は「導入しているか」ではなく、「運用・活用されているか」で評価する必要があります。
従業員教育と意識づけの実効性向上
技術的な対策と並行して、人の意識や行動の部分にも目を向けなければなりません。
多くの企業では年1回のセキュリティ研修を実施していますが、内容が一方的な説明に終始したり、現場の業務と結びついていなかったりすることで、実効性を持たないケースも見られます。
「この証券口座はプライベートで使っているだけだから大丈夫」といった思い込みや過信を打ち消すには、セキュリティ事故が“自分にも起こり得る”という前提で伝えることが重要です。たとえば、実際のインシデント事例を紹介したり、社内のルールを使って「何かあった時に誰に連絡すべきか」を即答できるようにしたりといった、より具体的な形での教育施策が求められます。
企業の備えに向けて
ネット証券のアカウント乗っ取り事件は、もはや個人だけの問題ではありません。
従業員の業務環境やアクセス端末、情報の流れが可視化されていない企業にとって、思わぬ経路からの情報流出や信用リスクにつながりかねません。
当社では、企業のリスク全体像を把握し、情報資産の守りを強化する支援を行っています。従業員に対するセキュリティ教育はもちろん、セキュリティリスクの洗い出しなど、組織全体での“備え”を整えるサポートを提供しています。
「どこまで社内で対応できているか不安」「何から見直せばいいか整理したい」
そんなときは、ぜひお気軽にご相談ください。
