念には念？不正アクセス対策としてSBI証券のログインをロックする方法

ごきげんよう！元証券ディーラーの公認会計士KYです。

2025年6月5日の金融庁の発表によると、証券会社の口座が犯罪者に乗っ取られ、株式を不正に売買される被害は収まってはいないみたいですね。

今回の記事では、私も利用しているSBI証券で、不正アクセス対策として私が実施した対応についてと、私が念のため行っているログインをロックする方法について、取り上げてみたいと思います。

拡大中の証券口座乗っ取り問題

証券会社の口座が犯罪者に乗っ取られ、株式を不正に売買される被害の拡大が収まっていないようです。
私としても、2025年3月頃には、この問題が新聞等で報道され始めていたんじゃないかと記憶していますが、2025年6月5日の金融庁の発表によると、証券会社から金融庁への報告ベースで、1月から5月までの不正取引は合計5,958件、不正に売買された金額は約5,240億円になっているとのことです。

犯罪者の狙いとしては、（当初は香港や上海の取引所に上場されている中国株が多かったようですが）特定の株式銘柄を大量に買付けて株価を高騰させ、（事前に犯罪者の資金で買付けていたであろう）同一銘柄を売却することで、間接的に利益をえているのではとされています。

犯罪者が証券口座乗っ取りのためのログイン情報を入手する手口の代表例として、新聞報道等でも紹介されていたのが、いわゆるフィッシング詐欺です。
一方で、新聞報道等では、たとえフィッシング詐欺によってログイン情報を盗まれたとしても、証券会社のインターネット取引のログインにあたり、多要素認証を設定することが、犯罪者による証券口座乗っ取りを防止する有効な対策として紹介されてもいました。

フィッシング詐欺

フィッシング詐欺とは、犯罪者がログイン情報等を入手するための（本物のサイトと区別がつかないレベルの）偽サイトに誘導するメッセージを、メールや携帯電話のショートメッセージサービス（SMS）に送りつけ、利用者が偽サイトにアクセスし、その偽サイト内でログイン情報等を入力することで、犯罪者がログイン情報等を入手するという手口のことをいいます。

犯罪者が証券会社のインターネット取引のログイン情報等を狙う場合は、（信用取引等の）証拠金が不足しそうになっているなどというメッセージで（期限までに証拠金を入金しないとポジションが強制的に解消されることもありうることから）利用者をあせらせ、正常な判断力を失わせて、偽サイトに誘導、ログイン情報等を入力させるようです。

また、ポイントやキャッシュバックといった偽キャンペーンで誘導するパターンもあるみたいです。

こういった偽サイトに誘導されないためには、メールや携帯電話のショートメッセージサービス（SMS）のURLをクリックせずに、証券会社のインターネット取引のログインには、あらかじめ自分自身でブックマーク（お気に入り登録）したURLからのみとすることが有効とされています。

コンピューターウイルス感染によるログイン情報等流出の可能性

また、ログイン情報等流出の経路はフィッシング詐欺だけではないようで、コンピューターウイルス感染によってログイン情報等流出するケースもあるようです。

こちらに関しては、日本経済新聞のコチラの記事「証券口座情報、盗難の手口にコンピューターウイルスも」が参考になります。

記事によれば、「インフォスティーラー」と呼ばれるコンピューターウイルスがあり、このコンピューターウイルスにPC等の端末が感染してしまうと、オンラインショッピングサイトのIDやパスワード、クレジットカードの情報や、証券会社のインターネット取引のログイン情報等、「ウェブ閲覧ソフト（ブラウザー）に保存された情報が簡単に抜き取られてしまう」とのことです。
とくにグーグルの「クローム」などのウェブ閲覧ソフト（ブラウザー）の情報が狙われやすいみたいですね。

感染経路としては、「クリックフィックス」という手口が最近増えているようで、偽サイトを通じて、利用者にコンピューターウイルスをインストールする手順を実行させていることのことです。
インターネットサイトでは、悪意があるプログラムによる攻撃を避けるため、「あなたは人間ですか？」と問う画面がでることがあるのですが、この画面が悪用され、「I’m not a Robbot（私はロボットではありません）」を押すと、命令が仕込まれ、指示通りにパソコンのキーを押していくと、「インフォスティーラー」もインストールされるようなのです。
サイトを閲覧中にWindowsキーとRキーを同時に押す操作の指示が表示されたら、とくに危険みたいですよ。

コンピューターウイルスの感染については、偽サイトを閲覧しただけで感染するようなケースもありえますので、完全に防ぐことは不可能なような気がするのですが、あまりウェブ閲覧ソフト（ブラウザー）に（保存するかどうかポップアップできいてくるような）パスワード等を保存させないようにした方がいいでしょうし、ウェブサイトででてくるポップアップは可能なかぎり、無視するようにした方がいいかもしれませんね。

SBI証券の不正アクセス対策と私の対応

SBI証券では、不正アクセス対策として「2025年5月31日（土）より、ログイン時の多要素認証を必須化」するとのことでした。
詳細については、コチラのサイトから確認をお願いします。

上記のサイトでは、SBI証券からユーザーに対して、至急、次の対応を求めています。

私は①デバイス認証はすでに設定済みでしたので、②FIDO（スマホ認証）のみを追加で設定しました。

①デバイス認証とは、SBI証券のWEBサイト（PC・スマホ）からのログインを対象としたもので、ユーザーの利用端末（PC・スマホ等のデバイス）の情報を登録して、登録されていない利用端末からログインが試みられた場合には、事前に登録されたメールアドレスに認証コードが送信され、その認証コードを入力しなければ、ログインができないという仕組みです。
なお、一度登録した利用端末でも、一定期間経過すると、ログインのためには、事前に登録されたメールアドレスに送信された認証コードが必要になる仕様とのことです。
①デバイス認証の設定方法については、コチラをご参照ください。コチラの動画でも確認できますよ。

②FIDO（スマホ認証）とは、SBI証券のスマホアプリと「HYPER SBI 2」（というPC用アプリケーション）からのログインを対象としたもので、ユーザーのスマートフォンに登録された本人確認情報（生体認証またはパスコード）を利用して認証が行われます。
ログインにあたり、事前にダウンロードして設定された認証専用のスマホアプリが、自動で起動され、その認証専用のスマホアプリで認証が行われないかぎりは、ログインができないという仕組みです。
私は、そもそも、SBI証券のスマホアプリと「HYPER SBI 2」を利用していなかったのですが、SBI証券から全ユーザーに対して②FIDO（スマホ認証）の設定も求められており、また、今回の証券口座への不正アクセスの要因として、複数のログインのチャネルのうち、セキュリティに不備があるチャネルからの侵入が想定されるということもあったため（本当にそうだとしたら、あきらかに証券会社側のセキュリティ対策の不備といえそうですが）、設定することとしました。
②FIDO（スマホ認証）の設定方法については、コチラをご参照ください。コチラの動画でも確認できますよ。

この他、SBI証券では、「メールアドレスやスマートフォンを所有していない」などの理由から、①デバイス認証、②FIDO（スマホ認証）を設定できないユーザー向けに、事前に登録した電話番号から認証専用電話番号に電話後3分以内の間しかログインできないという仕組みの「電話番号認証」が導入されるとのことでした。

SBI証券へのログインのロック

SBI証券へのログインのロックに関しては、5月中旬頃に私がX（旧Twitter）を閲覧しているときにフォロワーの方の発信で知ることができたのですが、SBI証券では、スマートフォンの紛失や不正アクセスの疑い等への対策として、口座へのログインを制御するロックの設定/解除が、かなり簡単にできるようになっています。

私は、SBI証券では、IPOのブックビルディング申込の他、株式の売買や貸株、外国債券など、幅広く取引してはいたのですが、（私としては）かなりの資金を入れていたこともあって、すぐにSBI証券の口座へのログインをロックすることにしました。

SBI証券の口座へのログインをロックする手続は非常に簡単で、ものの数分で完了しました。
手続は次のような手順で、これをやるだけで、証券口座が乗っ取られるリスクがなくなるのであれば、個人的には必ずやっておいた方がいいように思いますね。

なお、私はログインロックの解除も、すでに複数回実施済みで、そちらの手続は次のような手順になります。

こちらは少し面倒くさいですが、証券口座が乗っ取られて、勝手に金融資産を売買されることを考えると仕方ないのかなと思う次第です。

以上、公認会計士KYでした！！
今回の証券口座乗っ取り問題は、私がこれまで想像していたよりもはるかに深刻で、正直、かなりコワイですよね。
私は、SBI証券に関しても、ログインをロックすることとしましたが、みなさんも、各自の状況にあわせて後悔のない判断をして頂ければと思います。
みなさんが最高の相場に巡り合えますように！