日本証券業協会（日証協）と証券大手10社は5月2日、証券口座のインターネット取引で乗っ取り被害が急増している問題を受けて、各社の約款などの定めに関わらず一定の被害補償を行う方針を共同で発表した。具体的な補償の水準については、顧客のIDやパスワードなどの管理状況や、各社の不正アクセス防止のための対策などを勘案した上で個別に決める。日証協の松尾元信専務理事は「約款で払わなくていいものを払うように各社にご決断いただいた。極めて異例の措置だ」と述べた。

　方針に合意したのは、SMBC日興証券、SBI証券、大和証券、野村証券、松井証券、マネックス証券、みずほ証券、三菱UFJ eスマート証券、三菱UFJモルガン・スタンレー証券、楽天証券（50音順）の大手10社。7日時点ではみずほ証券以外の9社で被害が確認されている。

　SBI証券や楽天証券などの取引約款では、顧客自身が入力したか否かに関わらず、IDやパスワードなどが一致していれば本人による取引と見なし、証券会社側の故意や重大な過失がなければ原則として補償などの責任を負わない旨が明記されている。日証協が被害補償の方針を示す前には、被害を受けた顧客から「取引約款を盾に証券会社が補償から逃れようとするのはあまりにも不誠実だ」「顧客側の自己責任だと片付けられて泣き寝入りするしかない」といった声が相次いでいた。

　日証協の発表を受け、楽天証券は5月中旬以降、SBI証券は5月末をめどに補償対応の手続きを開始する方針を示した。消費者問題に詳しい坂勇一郎弁護士は「銀行の支払いと違って証券は売買が行われるため、不正取引の手口の解析が進まないと損失の存否や損失額の算定が難しい。各社によって株式の取り扱い方などが異なるため、補償対応の結論にばらつきが出る可能性はある」と指摘する。

新NISAで活況、格好のターゲットに

　今年に入って証券口座で被害が急増しているのはなぜか。

　サイバーセキュリティー大手のトレンドマイクロの成田直翔シニアスペシャリストは「新しい少額投資非課税制度（NISA）をきっかけにネット証券の投資家層が拡大した分、セキュリティー意識が低いユーザーも増えているためサイバー犯罪の格好のターゲットになっているのではないか」と話す。金融庁が4月18日に公表した資料によると、2月から4月中旬までのわずか3カ月弱で証券口座のインターネット取引における不正アクセス件数は3312件、不正売買の金額は約954億円に上った。

　成田氏によると不正の手口は「個人を狙ったフィッシング詐欺の可能性が高く、証券会社のシステムが攻撃を受けている可能性は考えにくい」という。トレンドマイクロの調査によると、2024年11月にフィッシングサイトの標的となった証券会社は野村証券と大和証券の2社のみだったが、25年4月には11社に増加していることが分かった。フィッシングサイトを立ち上げるための詐欺ツールが少なくとも10種類使われており、1社に対して8種類のツールが使われていたケースもあったことから、背後には複数の犯罪者集団がいるとトレンドマイクロは見ている。

信用取引で損失が発生する可能性を伝え、偽サイトに誘導するメールの文面（写真＝トレンドマイクロ提供、以下同）

　フィッシングサイトに誘導する方法として、ショートメッセージサービス（SMS）やメールが使われることが多い。証券会社からのキャンペーンやお知らせと称したメッセージで巧みにリンクをクリックさせ、あらかじめ用意された本物そっくりの偽サイトに利用者を誘導。IDやパスワードなどの口座情報を盗み取るのが典型的な手口だ。

現金プレゼントキャンペーンをうたって取引パスワードの入力を促す偽サイト

　口座の資産残高が1000万円以上の大口顧客をターゲットにして現金プレゼントのキャンペーンをうたったり、信用取引の強制ロスカット（強制決済）が発生する可能性があると不安をあおったりして偽サイトに誘導するケースも確認された。