《パスワードレス広がる突破口になるか》証券口座乗っ取り｢日証協新ガイドライン｣フィッシングに耐性のある認証とは…本命のパスキーに課題も

また、8月に発表された最新のデータでは、不正アクセス件数が6月1759件、7月970件、不正取引件数は6月851件、7月818件と6月に比べて7月のほうが減少しているが、売却金額については、6月約221億円、7月243億円と、被害金額は微増している。

2025年5月には、多要素認証（MFA）の義務化などの対策が進んだことや、テレビ等のマスメディアで連日のように報道されたため、6月以降は不正取引件数が減少したが、まだまだ高い水準を保ったままだ。

手口は「サイバー」相場操縦

実はこの犯罪手口は、古典的な用語としては「株価操縦」の一種で、英語では「Hack, Pump And Dump」と呼ばれている。

あらかじめ取引量の少ない株式を仕入れておき、その後、不正ログインした被害者のアカウントの所有株式を売却し、それを原資として被害者のアカウントから、先ほどの株を高額の指値（さしね）で買わせる。その差額が儲けになるというものだ。

なぜこんな手の込んだことをするのか？ その理由を説明しよう。今までは、例えば「徳丸浩」名義のオンライン証券口座なら、出金先の預金口座も「徳丸浩」名義でないと引き出せず、それが一種の安全策になっていた。

それを突破するための手口であるが、過去に被害例が少なかったために証券会社業界全体に油断があったのかもしれない。

不正ログインの手法については、当初はフィッシング説とインフォスティーラー（情報を盗むタイプのウイルス）説の2つがあったが、その後の報道などから、大半がフィッシングによるものと見て間違いないだろう。