金融庁によると、2025年8月末時点での不正取引件数は 8,733件 に上り、 6,770億円超 の損害が発生しました。
1件あたりの平均被害額は 約7,800万円 に達し、2025年8月の不正取引金額は計約514億円と、2025年7月の約473億円から増加しています。
このことから、証券会社の不正取引防止策が依然として不十分であることが明らかです。
特に警戒すべきなのが「インフォスティーラー(InfoStealer)」と呼ばれるマルウェアによる被害です。
実際に報告されている事例では、口座の保有株が勝手に売却され、中国の低価格で売買の少ない株が大量購入される ケースが多発しています。
犯人は事前に中国株を買い仕込んでおき、乗っ取った証券口座で同じ銘柄を買わせて株価を吊り上げ、その後に売り抜けて多額の利益を得るという巧妙な手口です。
これは投資家自身に直接的な損失を与えるだけでなく、市場の公正性を揺るがす深刻な問題でもあります。
インフォスティーラー(InfoStealer)は、パソコンやスマホに侵入し、ブラウザに保存されているログインIDやパスワードを盗み取るマルウェアです。
主な感染経路は以下のとおりです。
- 不審なメールに添付されたファイルを開く
- 海外製フリーソフトのインストール
- 偽サイトからのダウンロード
- 偽の「私はロボットではない」から侵入
こうして盗まれた認証情報がダークウェブで売買され、証券口座への不正アクセスに利用されます。
クリックフィックス
ここ1年ほどで急増しているのが「クリックフィックス」と呼ばれる攻撃手法です。攻撃者が送ったメールなどを経由して特定のWebサイトにアクセスすると、「私はロボットではない」ことを確認するための操作(CAPTCHA)が表示されます。
しかし、このCAPTCHAは偽装されており、実際には罠です。画面の指示に従って操作すると、Windowsのコマンドを通じて、インフォスティーラーなどのマルウェアが自分のパソコンに自動的にインストールされてしまいます。
- 証券会社からの通知メールは必ず「ブックマーク」から公式サイト、アプリで確認する。
- メールアドレスを二重化し、転送設定など「正しい通知は2通届く」仕組みにする。「偽メールは1通しか届かない」ので区別しやすい。
- パスワードを複数のサービスで使い回さない
- ワンタイムパスワード(OTP)や二段階認証を必ず設定する
通知メールを二重化して偽メールを見抜く方法
証券会社からの通知を 2つのメールアドレスで同時に受け取る設定 にしておくと、フィッシング詐欺や不正アクセスを見抜きやすくなります。
まず、証券会社のマイページで「連絡先メールアドレス」を2つ登録できる場合は、メインアドレスとサブアドレスを登録します。
次に、サブアドレスからメインアドレスに転送設定します。
こうしておくと、証券会社からの 本物の通知メールは必ず2通(メインとサブからの転送)届きます。
一方、犯人が送るフィッシングメールは1つのアドレス宛てにしか届かないため、「正しい通知=2通、偽メール=1通」 という形で見分けがつきやすくなります。
ただし、この方法は「偽メールを完全に防ぐ」ものではありません。
「1通しか来なかったら必ず偽物」と断定できるわけではなく、通信エラーや迷惑メール振り分けで片方が届かないケースもありえます。
そのため、あくまで見分ける補助的な仕組み として活用しつつ、必ず公式アプリや公式サイトで内容を確認する習慣が大切です。
証券口座の乗っ取りは、もはや他人事ではありません。被害が発生してからでは遅く、日々の小さな備えが大切です。
特に 「自分の株を勝手に売られ、知らない中国株を買わされる」 といった被害は増えており、警戒を怠れば巨額の損失につながります。
安全に資産を守りながら投資を続けるために、今日からでも実践できる対策を徹底しておきましょう。