この週末、楽天証券でフィッシング詐欺が起きたことが話題になりました。不正に口座にアクセスされ、資産を売却、中国株を購入されるという事件が複数起きたようです。すでにセキュリティ強化の対策も出ていますが、それによって失うものもあります。どうあるのが理想なのでしょうか。
楽天証券でフィッシング詐欺
どうやら、楽天証券の口座が不正アクセスされ、資金の外部出金こそなかったようですが、勝手に資産を売買され、特定の中国株が購入されていたようです。資産を売却されたことで課税が発生し、勝手に買われた中国株には含み損が発生しているということです。
#注意喚起 #楽天証券 #拡散希望#株 #NISA
— Qサク (@Qsakucom01) 2025年3月20日
ちょっと情報収集を兼ねてなのですが、楽天証券の講座が不正アクセスされて昨日所持してるNISA枠含む金融商品を全て売却され代わりにアンバーヒルフィナンシャルという中国株を大量購入されて一晩で含み損が300万ほどでてしまい放心状態です。↓
なぜ犯人は中国株を買ったのでしょうか。相場操縦のためという説と、犯人があらかじめ購入しておいた株を、不正アクセスした口座で高値で買い取らせるためという説がありますが、詳細は不明です。
そして口座が不正アクセスされた理由は、フィッシング詐欺だという説が濃厚です。フィッシング詐欺とは、楽天証券を装ってメールを送り、そのメールにかかれているURLをクリックすると楽天証券そっくりのサイトが開き、IDとパスワードを入力するとその情報が抜かれるというものっです。
楽天証券のフィッシング詐欺、迷惑メールを探したらそれっぽいメールがあった。ちゃんとした日本語だし思わずクリックしてしまいそうな文面ではある。でかでかと警告してくれるGmailはえらい pic.twitter.com/ezVobWXDdC
— 駄犬 (@daken_in_market) 2025年3月21日
IDとパスワードはだいたい流出していると考えるほうがいい
今回の事件への対策として、楽天証券は取引暗証番号の変更と二段階認証設定をするよう呼びかけています。
取引暗証番号はログイン後、株式の売買などを行う時に入力するもので、これが流出したことで今回取引がされてしまったことになります。株式の購入や売却のときにしか入力しないものなので、フィッシングサイトで求められたら「あれ?おかしいな?」と思うべき暗証番号ですね。
ただこちらはソーシャルハッキング(誕生日などの数字で試された)された可能性も高いと思います。楽天証券の取引暗証番号は数字4桁で、他のサイトと共通だった場合、推測される可能性も大変高いからです。他証券会社は早々に「英数字と記号を含む◯文字以上」への変更を強制していますが楽天証券は、現在のところ数字4桁のまま利用できるようになっています。
取引暗証番号の設定ルール変更について(5/28~) | 楽天証券
いずれにせよ、こうした数字4桁の暗証番号は流出している可能性が高いと考えるべきです。
ログインに二要素認証を使う微妙さ
今回の事件に対し、楽天証券は取引暗証番号の変更(数字4桁は使えなくなる)とログインに二要素認証を使うことを推奨しています。この二要素認証は、メールアドレス宛に認証コードが送られてくるものです。
よくある方法ですが、携帯のSMS宛ではなくメールアドレス宛ということで、オンラインでスニッフィングされていたり、メアドにも不正アクセスされていたら筒抜けになります。
また送られてくるのは数字や英数字4桁という楽天銀行のような仕様ではなく、画像要素です。たまにある仕組みで、フィッシング詐欺を防げるというウリはありますが、ちょっと使いやすいとはいえなそうです。
マネフォで楽天証券の残高が把握できなくなる
個人的にちょっと不思議なのは、ログインに二要素認証を使い、取引の方はパスワードで済ませていることです。ログインしてから取引を行うので、確かにセキュリティという点では入口を強固にすればセキュリティは上がるといえそうです。ただ、これは「パスワードを長くすればセキュリティが上がると思ったら、みんなメモしていて逆に下がった」というのに近い問題があります。
例えばマネーフォワードで楽天証券を含めた資産管理をしているユーザーは、なんと楽天証券のIDとパスワードをマネーフォワードに登録する必要があります。ところが、二要素認証を登録するとマネーフォワード側では情報の取得ができなくなります。おそらく、マネフォ側が対応しても、メールに送られてきた画像情報を都度ユーザーがマネフォに入力するという形になるでしょう。これでははっきりいって使い物になりません。この問題はマネーフォワードに限った話ではなく、他のアカウントアグリゲーションサービスすべてに起こる問題です。
これを解決する方法はいくつかあります。考えかたとしては、認証を「参照」と「更新」の2つに分けることです。参照というのは、残高などの情報を取得するもの。更新というのは、購入や売却、送金など値を変化させる指示を出すものです。
一般的に「参照」することができてもそれは情報漏洩というレベルで、さほど致命的な問題にはなりません。しかし「更新」されると金融関係では取り返しのつかない状況になります。マネーフォワードなどのサービスは、複数の金融機関の情報をまとめて参照して見やすくするというサービスであり、「参照」ができれば済むのです。
これを踏まえると、1つは二要素認証をログイン時ではなく取引時に行うようにすることです。ぼくも楽天証券にログインすることはしばしばありますが、ログインしたからといって必ず取引を行うわけではありません。
理想は参照系のAPI化
理想的なのは参照をAPI化することです。すべての銀行は法律で参照APIの提供が義務付けられていて、マネフォなどにIDとパスワードを渡すことなく残高情報の取得ができるようになっています。証券の場合、証券会社の対応はまちまちで例えばマネックス証券はAPI連携となっていますが、SBI証券や楽天証券などはAPIを提供していません。
「なぜマネフォのためにわざわざ証券会社がAPIを開発する必要があるのか?」などと思う人もいるかもしれません。これはユーザーの口座データはユーザーのもので、ユーザーが自由に活用できるようにすべきだという考えかたがあるからです。電子カルテなどもそうですが、そうしたデータはユーザーに所属すべきで、システム側の都合で外に出しにくくすることは財産権の侵害だという考えかたです。これは欧州や豪州で主流の考えかたで、自分のデータに自分でアクセスできないのは人権侵害とも捉えられています。だからこそ、銀行においては金融庁が参照系APIを義務付けたわけです。
短期的な対応としては、取引種別ごとにロックを掛けられると安心感が高まります。クレカでは、海外取引やオンライン取引などを選択してロックするこができますが、そんなイメージです。
例えばぼくは長期投資家なので、米国株の売買は年に数回しか行いませんし、中国株などは売買しません。日常的に売買することがあるのは優待のための国内株だけです。そのため、普段は日本株以外はロックしておいて、ロックを解除するには複数の他要素認証などが必要などセキュアにしてもらえれば便利です。
ともあれ、セキュリティと利便性はいたちごっこ。セキュリティが低いのは論外ですが、むやみにセキュリティを上げようとして使いにくくなるのも避けてほしいところです。楽天証券やSBI証券においては、参照系についてはさっさとAPIを整備してほしいところです。
