証券口座乗っ取り再燃、不正アクセスさらに巧妙化になっている。

証券口座が不正アクセスで乗っ取られ、勝手に株式が売買される問題が再燃している。

金融庁によると、8月の不正取引の売買額は約514億円で、2か月連続で前月より増えた。

証券業界は対策を強化しているものの、新たな手口も横行している。

企業の対策に加え、個人の自衛意識向上も重要となる。

乗っ取りの手口は、利用者を本物と似た偽のウェイブサイトに誘導し、IDやパスワードを入力させて盗むフィッシング詐欺が代表的だ。

証券会社は対策として、インターネット取引のログイン時に複数の手段で本人確認をする「多要素認証」の導入に取り組み、7月時点で79社が設定必須化を決めている。

金融庁も注意を呼びかけ、業界とともに強固な対策を進めると強調している。

こうした中でも被害が絶えないのは、手口がさらに巧妙となったためだ。

顧客が偽サイトに入力した個人情報を犯罪者側が直後に把握し、正規サイトに即座に不正アクセスする「リアルタイムフィッシング」が増えているとみられる。

 



リアルタイムフィッシングは、正規のユーザーと本物のウェブサイトの中間に攻撃者(フィッシングサイト)が割り込んでやり取りを中継するサイバー攻撃。

通常のパスワードだけではなくワンタイムパスワードも中継するため、多要素認証であっても不正ログインを許してしまう。

この手口では通常のパスワードに加えて、一度きりのパスワードを使う方式の多要素認証を破られる。

注意喚起だけでなく、リスク回避の金融教育が必要不可欠だ。

SBI証券や楽天証券などを中心に、フィッシング耐性のある認証方式「パスキー」を導入したり検討したりする企業が増えている。

パスキーとはFIDO(ファイド)2という仕様に基づいた、パスワードを使わない認証方法である。

FIDO認証などとも呼ばれる。

パスワードがネットワーク上を流れないので、リアルタイムフィッシングを防げる。

ただ導入には課題もある。

開発にコストがかかる。開発に慣れていない現場もあるだろう。

セキュリティの専門家はフィッシング対策として導入すべきだと強調するものの実装のハードルは高いという。

証券会社はユーザーの資産を守るために、セキュリティの向上を目指しているが、ユーザーとの軋轢(あつれき)がそれを阻む壁となっているケースもある。

安全性のために利便性が低下する場合があることを理解する必要がある。

安全性の欠如により被害に遭うのはユーザーなのだから。

メールに記されたリンクを開かないほか、証券会社のサイトはブックマークしてアクセスすることなどを対策すること。

自らの資産を守る力が必要、重要になってくる。

 

高齢者らに、ネットバンキングを利用できる金融機関の新規口座を作らせるなどし、そこに入金させた現金を不正に引き出す新たな特殊詐欺の手口が広がっている。

同一名義の口座間で金が動くため、金融機関が異変に気付きにくいのが特徴です。

従来の手口がより巧妙になり、全国各地で発生する可能性がある。

口座がマネーロンダリングに関わっている。

 



詐欺グループが警察官になりすまし、警察官をかたる男は捜査のため口座の現金を確認する。

新規口座を開設してほしいと迫り、ネットで口座開設を要求する。

ネットバンキングで使用するログインIDとパスワードも巧みに聞き出す。

指示されるまま元々持っていた口座から送金した。

 

その後、不審に思い警察署に連絡し詐欺と発覚した。被害額は1,900万円近くに上がっている。

ネットバンキングを悪用した特殊詐欺被害は1件当たり約1,100万円なのに対し、新規口座開設の手口だけで見ると1件当たり約3,800万円と3倍を超える。

普段の口座と違い、新規口座は大きく金が動いても金融機関に不審がられにくい。

従来はネットバンキングを利用できるよう設定させ、詐欺グループの指定口座に送金させていたが、普段利用しない振込先への多額送金は金融機関から疑われる危険がある。

ネットバンキングを悪用した手口の発展型は全国どこで起きてもおかしくない。

これまでですと使ってない口座だと思うんですが。

そこからいきなり他人の口座に振り込んだとしたら、銀行がおかしいなと気付くわけです。

ところが、自分名義の新しい銀行口座に自分の口座からお金を入れるだけですから移動しても不審がられない。

多分、皆さんたくさんの銀行口座持ってらっしゃいますけど、それをひとつにまとめて一気にこうやってだますということだと思います。

ネットバンキング詐欺に遭わないために

・警察や検察はネットバンキングの開設や送金を依頼することはありません。


・IDとパスワードは電話で聞かれても絶対に教えないこと。

まずは個人情報を教えない。

 

情報を取られれば、お金が取られるということは意識を持って徹底しないといけません。 

 


「ロボットではありませんか」本人確認装う、私はロボットではありません。

そんな確認の手続きを装って、利用者本人に不正なパソコン操作をさせられる。

気づかないうちにコンピューターウィルスに感染させられる。

 

サイバー攻撃「クリックフィックス」が急増している。

複数の操作を実行させる「ショートカットキー」を指示されるのが特徴だ。

クリックフィックスは詐欺メールのほか、ネット検索や交流サイト(SNS)などサイバー犯罪者に改ざんされたサイトや偽サイトから誘導されて被害に遭う。

「あなたはロボットではありませんか」など、自動プログラムではないことの確認画面で、複数のキーを同時に押す操作を指示され。

その通りに押す操作を指示され、その通りに操作するとネット上に用意されたウィルスをダウンロードし感染させられる。

偽サイト(攻撃者)から偽の指示、Ctrl+V Windowsマーク+R など押してください。

クレジットカードの番号など重要な情報を盗まれる恐れがある。

米セキュリィテーきぎょうのプールポイントによれば、クリックフィックスによるウィルス感染を狙った詐欺メールは、2024年10月から観測され始めた。

24年は34万件だったのが、25年は7月までに750万件を超えた。

2月には日本実在の外交官になりすまし、日本の研究者に面会の約束などを装ったメールが送信されていた。

メールを解析したところ、クリックフィックスによって継続的に情報を盗むウィルスの感染を狙ったものだった。

北朝鮮を背景にしたサイバー攻撃グループによるとみられる。

本人が操作するため、セキュリティーソフトで防げない場合もある。

被害が拡大しており、人間かどうかの確認でショートカットキーを使った操作を指示されたら従わないよう注意してほしい。

●クリックフィックスの対策

※こんな表示が出たら危険シグナル

「人間であることを証明するため Windowsマーク+Rを押してください」

「Ctrl+V で貼り付けて Enter を押すと修復できます」

メールのHTML添付を開くと、偽Office/偽Chromeのポップアップが出て「修復手順」としてキー操作を促す。

正規のCAPTCHAがキー同時押しを求めることはありません。 この時点でタブ/ブラウザを閉じてください。


※被害に遭わないための基本対策

キー操作の指示に従わない:怪しい画面は即クローズ。必要ならブックマークから正規サイトへ入り直す。

HTML添付は要注意:業務上やむを得ない場合も、まず分離環境で開くのが安全。

OS/ブラウザ/セキュリティを最新に:拡張機能は定期棚卸しで不要なものを削除。

検索結果・広告から入らない:重要サイトは公式URLを直接入力またはブックマークで。