日本の証券会社のセキュリティが弱い理由

アバター画像
黒坂 岳央

黒坂岳央です。

最近、証券口座の不正アクセス被害が相次いで報道されている。特に、著名な個人投資家・テスタ氏の楽天証券口座が不正利用されたというニュースは、投資家の間で衝撃を持って受け止められた。

なぜここまで不正アクセスが増えているのか。結論からいえば、日本の証券会社のセキュリティが弱い理由は、これまでは不正アクセスが少なく、それほど高いセキュリティが必要なかったからだ。

だが時代は変わった。この背景と、今すぐできる対策を整理したい。

Chainarong Prasertthai/iStock

【原因1】日本の「性善説」が裏目に

かつて日本の証券会社は、「使いやすさ」「わかりやすさ」を最優先に設計されていた。高齢者やITに不慣れな人でも安心して使えるように──という設計思想は、ある意味で日本的な“おもてなし”の延長だった。

・ログインが簡単
・IDとパスワードだけで完結
・エラーが少ない

こうした仕様は、ユーザーを信頼する“性善説”に立脚していたと言える。しかし、時代は変わった。

現在では、AI翻訳や自然言語処理の進化により、海外の攻撃者でも日本語のメールやウェブサイトを自然に模倣できる。フィッシングメールや偽ログイン画面が、日本人でも見分けがつかない精度で作られるようになっているのだ。

日本語という「防波堤」はすでに崩壊している。インターネット空間が国境を持たない以上、「日本のサービスだから安心」とはもう言えない。

【原因2】利用者の利便性優先

証券会社側にも難しい立場がある。顧客層には高齢者も多く、セキュリティを強化すればするほど「ログインできない」「使い方がわからない」といった問い合わせが増える。結果として、サポートコストが跳ね上がる。

そのため、多くの会社では高度な認証システム──たとえばGoogle AuthenticatorやYubiKeyなどの物理セキュリティキーの導入を見送ってきた経緯があるだろう。長年、それでもほとんど問題は起きなかった。

証券会社側でメールアドレスに届いた確認コードを使う「簡易型の二段階認証」が採用されているが、メールアカウント自体が流出していれば突破されてしまう可能性がある。

さらに、一部証券会社ではWeb版とPC版でログイン条件に差があったり、サブのログインページから二段階認証なしでアクセスできるような設計ミスも報告されている。これはユーザーの責任というより、企業側のセキュリティ設計に問題があったと言わざるを得ない。

【原因3】マルウェア感染経路の拡大

被害に遭った多くのユーザーは「強固なパスワードを設定していた」「二段階認証を使っていた」と口を揃える。それでも突破されるのはなぜか?

仮説として上げられるのは。利用している端末そのものがハッキングされていることだ。

マルウェアの一種「インフォスティーラー」に感染すると、パスワードマネージャーのデータや入力履歴、クリップボードなどの情報が抜き取られる。つまり、「何桁のパスワードでも」「毎月変更しても」、感染していれば意味がない。

かつては「怪しいメールの添付を開かなければ大丈夫」と思われていたが、今では公共Wi-Fiの利用、USB充電器の接続(ジュースジャッキング)、偽のアップデート通知など、感染経路が非常に多様化している。

注意すべきポイントが多すぎる今、個人がすべてを防ぐのは難しい。だからこそ、「端末レベルで守る」対策が必要なのだ。

不正アクセスへの対策法

ここからは、「証券会社側の設計不備がない」という前提で、個人でできる対策をレベル別に紹介したい。すべてを実践できなくても、1つでもやる方がマシである。

最低限やるべきこと(すぐ実行可)
  • 証券口座ごとに専用の強固なパスワードを使い回さず設定(20文字以上、英数記号混在)
  • 二段階認証を必ずオンにする
  • 不要な拡張機能や怪しいソフトをPCにインストールしない
  • 公共Wi-Fiで証券口座にアクセスしない
できればやるべきこと
  • 証券口座専用のメールアドレス(GmailよりProtonMail等を推奨)を使う
  • パスワードマネージャー(Bitwardenや1Password)を活用し、コピペログインでキーロガー対策
  • Windowsアカウントを顔認証(Windows Hello)やPIN認証で保護
  • VPNを常時使用し、通信の盗聴リスクを低減
本気で資産防衛したい人向け
  • 証券口座専用のノートPCを用意(他の用途には一切使わない)
  • BitLockerでハードディスクを暗号化
  • YubiKeyなど物理キーによる多要素認証を実装
  • 仮想マシンやLive USBを使ってネット取引専用環境を構築(マルウェア耐性が非常に高い)

尚、筆者は一番下以外はすべて実践している。

セキュリティと利便性はトレードオフの関係、これは筆者がサラリーマン時代に会社から教わったことだ。セキュリティを高めれば面倒が増える。だから次第に形骸化する運命だ。

しかし、証券口座の悪用となれば話は別だ。たった一度の不正アクセスで、数十年来の運用成果がすべて水泡に帰すこともありうる。証券会社の努力にも限界がある以上、我々も「守る力」を身につけなければならないだろう。

 

■最新刊絶賛発売中!

[黒坂 岳央]のスキマ時間・1万円で始められる リスクをとらない起業術 (大和出版)

アバター画像
黒坂 岳央
ビジネスジャーナリスト
シカゴの大学へ留学し会計学を学ぶ。大学卒業後、ブルームバーグLP、セブン&アイ、コカ・コーラボトラーズジャパン勤務を経て独立。フルーツギフトのビジネスに乗り出し、「高級フルーツギフト水菓子 肥後庵」を運営。経営者や医師などエグゼクティブの顧客にも利用されている。本業の傍ら、ビジネスジャーナリストとしても情報発信中。