Yahoo!ニュース

楽天証券「不正取引」が話題に 原因と対策は?

山口健太ITジャーナリスト
楽天証券のWebサイトでは不正取引の注意喚起をしている(筆者撮影)

ここ数日、楽天証券で不正取引が多発しているとの話題が広がっており、Webサイトには大きく注意喚起が出ています。

どのような原因と対策が考えられるのか、楽天証券の広報担当者に聞いてみました。

大部分はフィッシング詐欺か

最近、ネット銀行やスマホ決済サービスを狙ったフィッシング詐欺が増加しています。楽天証券では、今回の不正取引についても「大部分はフィッシング詐欺と考えている」(広報)としています。

フィッシング詐欺は、本物そっくりの偽サイトに誘導し、IDやパスワードを入力させるというものです。被害者は本物のサイトと思い込んで自分から情報を入力してしまうため、簡単かつ強力な攻撃手法として猛威を振るっています。

楽天証券についても、巧妙に作られたメールやSMS(ショートメッセージ)が多数送信されており、そこに記載されたリンクから偽サイトに誘導する事例を確認しているといいます。

ただ、楽天証券にログインしただけでは資産などの状態を閲覧できるのみで、実際の取引には「取引暗証番号」が必要になります。そこで偽サイトでは、IDとパスワードを入力させた後に、取引暗証番号の入力も求めているとみられます。

この点について、楽天証券では「取引暗証番号は注文や各種変更の際に必要となることはあるが、ログインID・パスワードの入力直後に入力をお願いすることはない」と注意喚起をしています。

一方で、「フィッシングではない」と主張する被害者がいることも話題になっています。楽天証券によれば、顧客からの問い合わせなどから「大部分」がフィッシングと判断しているとのことですが、マルウェアなどの可能性もゼロではないといいます。

たとえばPCがマルウェアに感染している場合、画面の内容やキーボード入力、ブラウザに保存した情報などを盗み出される恐れがあります。しかし楽天証券からは個々の端末の状態までは確認することができないため、具体的な言及ができない状況とみられます。

また、パスワードや取引暗証番号をサーバー上でどのように保持しているかという点については、「被害の拡大を防ぐため詳細は控えるが、暗号化などのセキュリティ対策を講じており、不審な動きのモニタリングも実施している」(広報)との回答でした。

追記:

パスワードと取引暗証番号の扱いについて、楽天証券より「サーバー上では復号できないようにハッシュ化した状態で保存している」との回答がありました。

なお、SBI証券も同様にハッシュ化していることを公表しています。

こうした不正取引はSBI証券でも似たような事例があるとのことから、楽天証券特有の問題というよりは、口座数の多いネット証券が狙われている印象も受けます。

一部の中国株式の買い注文を停止

ところで、なぜ証券会社が狙われたのでしょうか。銀行のインターネット取引では外部への不正送金の被害が拡大しましたが、証券会社から本人名義以外の口座にお金を引き出すことは困難といえます。

その代わり、今回の事例では「意図しない株式を勝手に購入された」という報告が相次いでいます。楽天証券では3月21日20時に一部の中国株式(香港株)の買い注文を停止しており、広報によればこれは一連の不正取引問題への対策とのことです。

3月21日20時から一部の中国株式の買い注文が停止された(楽天証券のWebサイトより、筆者作成)
3月21日20時から一部の中国株式の買い注文が停止された(楽天証券のWebサイトより、筆者作成)

追記:

その後、対象の銘柄数は3月25日までに合計582銘柄に増えています。

売付のみ受付銘柄|中国株式|外国株式・海外ETF|楽天証券

対象となった銘柄の中には、短時間のうちに株価が大きく上昇し、その直後に大きく下落しているものがありました。被害者の口座を使ってこうした銘柄を大量に購入することで株価をつり上げ、第三者が利益を得る手法が考案されたとみられます。

また、攻撃者は「効率」を追求する傾向にあります。ネットバンキングやスマホ決済サービスの対策が進み、不正行為が難しくなったことで、新たなターゲットとして証券会社が狙われた可能性も感じられます。

こうした被害に遭った場合、補償はどうなるのでしょうか。ネットバンキングの場合、不正送金の被害に遭ったとしても、一定の条件下で補償され、お金が戻ってくることが多いようです。

しかし証券会社のネット取引の場合、ログインした状態での取引は本人によるものとみなすのが一般的とのこと。原則として補償の仕組みはないようですが、楽天証券では「被害に遭われたお客様のお話をうかがい、金融商品取引法などの法令に従って個別に検討する」(広報)としています。

3月23日から「リスクベース認証」を導入

フィッシング詐欺に共通する対策として、外部からメールやSMSなどで送られてきたリンクやURLは信用せず、お気に入りやブックマークに登録したものを使う、というものがあります。

楽天証券では、パスワードや取引暗証番号の再設定を呼びかけているほか、2021年に導入した「ログイン追加認証」の設定を案内しています。これを有効化すると、ログイン時にはあらかじめ登録したメールアドレスに送られてくる「画像」の選択を求められるようになります。

「ログイン追加認証」の画面。出てくる画像はランダムで、数百種類あるという(楽天証券のWebサイトより)
「ログイン追加認証」の画面。出てくる画像はランダムで、数百種類あるという(楽天証券のWebサイトより)

画像の候補は数百種類あり、数字などの単純な入力フォームに比べて偽造は困難としています。ただ、偽サイトが本物の画面をコピーしてくる可能性もあるため、引き続き警戒は必要という印象はあります。

さらに3月23日からは、新たに「リスクベース認証」が導入されています。これはログイン環境が普段とは異なると判断した場合に、「フリーダイヤルに電話をかける」または「SMSを受け取る」追加認証を求める仕組みとなっています。

新たに導入した「リスクベース認証」で、追加認証が必要と判断された場合に表示される画面(楽天証券のWebサイトより、筆者作成)
新たに導入した「リスクベース認証」で、追加認証が必要と判断された場合に表示される画面(楽天証券のWebサイトより、筆者作成)

タイミング的には今回の不正取引の話題と重なったものの、楽天証券によれば以前から導入を計画していたとのこと。利用者側で設定する必要はなく、すでに全員が有効化されており、無効化する仕組みは用意されていません。

実際に筆者のアカウントで、これまで楽天証券を使ったことがないスマホからログインを試みたところ、「ログイン追加認証」で画像を選択してログインした後に、「フリーダイヤル認証またはSMS認証」を求める画面が出てきました。

あくまで普段とは異なると判断された場合のみ出てくる認証画面ではありますが、多様な環境からログインする可能性がある場合、電話番号の設定を確認しておいたほうがよさそうです。

追記:

3月24日にはネット証券各社が注意喚起を出しています。こちらの記事にまとめました。

ネット証券各社が「フィッシング」に注意喚起 不正取引対策

記事に関する報告
  • 178
  • 325
  • 158
ありがとうございます。
山口健太
ITジャーナリスト

(やまぐち けんた)1979年生まれ。10年間のプログラマー経験を経て、2012年にフリーランスのITジャーナリストとして独立。日経クロステック(xTECH)やASCII.jp、ITmedia、マイナビニュースなどの媒体に寄稿し、2021年からは「Yahoo!ニュース エキスパート」として活動しています。

山口健太の最近の記事

あわせて読みたい記事