本人確認が甘かった…証券｢口座乗っ取り｣10社が補償拒否から一変､セキュリティとのバランスを見誤った業界の落ち度

金融庁の注意喚起によれば2025年2月に43件だった被害が、3月には1400件を超え、4月に入ると半月で1847件を記録した。2月から4月16日までの不正アクセスの合計は3312件、不正取引件数は1454件となり、売買の差額は約50億円としている。

証券業界は、顧客向けの注意喚起などを行っていたが、被害者からの損害補償については対応を拒否していた。なりすましログインによる不正アクセスとはいえ、形式的には通常取引による損失だ。つまり、見た目は自己責任の取引なので、金融システムとして補填することはできないからだ。

だが、被害が大きくなるにつれ、業界としても対応を余儀なくされた。本人の意思による取引なら自己責任だが、不正アクセスや詐欺による売買で、それが不当な株価操作にも使われたとしたら放置するわけにはいかない。

そもそも、証券会社は口座や取引が本人であるかどうか確認する義務を負っている。不正アクセスを許したのは本人確認を怠っていたからと言われれば、だんまりを決め込むわけにはいかないだろう。

ログイン方法と本人確認方法にあった弱点

実際、証券会社のオンライン口座のログインシステムや認証方法の問題点も指摘されていた。

近年、個人情報、プライバシー、オンラインバンキングやECサイトのログインには、2要素認証（2FA）やデバイス認証といった認証が必須とされる。ログインIDとパスワードだけの認証では、サイバー攻撃による不正アクセス、なりすましは防げない現実がある。

ログインやアカウント情報の編集、送金など重要な操作では、最初のログイン以外にイベント発生ごとの追加認証のため、通知やワンタイムパスワードの送信は最低限の保護機能となっている。あるいはログインできるPCやスマートフォンを事前に登録しておくデバイス認証も同様に、重要なアカウント、操作には設定が必須と言ってよい。

このような機能は、ほとんどの証券会社も導入・対応している。フィッシングでログイン情報が漏れたとしても、2FAやデバイス認証を設定していれば、ワンタイムパスワードを受け取るスマートフォンまで盗まれていなければ、なりすましはかなり防げる。

しかし、被害が起きているのはなぜなのか。