被害者の多くは、楽天証券あるいは楽天銀行を名乗るメールやSMSを受け取り、その中に記載されたリンクから偽サイトにアクセスし、ID・パスワード、さらには取引暗証番号まで入力してしまったのだろう。フィッシング詐欺は他人事ではないのだ。気をつけなければいつでも巻き込まれる。(鈴木傾城)
プロフィール:鈴木傾城(すずき けいせい)
作家、アルファブロガー。著書は『ボトム・オブ・ジャパン』など多数。政治・経済分野を取りあげたブログ「ダークネス」、アジアの闇をテーマにしたブログ「ブラックアジア」を運営、2019、2020、2022年、マネーボイス賞1位。 連絡先 : bllackz@gmail.com
勝手に資金が引き出され、見知らぬ中国株に
楽天証券における不正アクセス事件は、金融資産をネット証券で管理する投資家にとってはヒヤリとする事件でもある。私も楽天証券を使っているので、この事件には他人事ではない。
この事件は、どういうものだったのか?
2025年3月中旬、SNS上に相次いで投稿された被害報告がきっかけで、事件は急速に注目を集めたのだが、内容は「楽天証券に預けていた保有株が勝手に売却された」「楽天銀行の口座から勝手に資金が引き出され、見知らぬ中国株が買われていた」といったものだった。
それも、1人や2人ではなくけっこうな数の人が被害に遭っていたようだ。このあたり、楽天証券はくわしい情報を出していないので、どれくらいの規模で事件が起きていたのかはわからない。
いずれにしても、被害者は取引口座に不正にログインされ、保有していた株式を勝手に売却されて、見知らぬ中国株や香港株の銘柄が大量に購入されていたので、犯人は中国人なのだろうという噂が立っている。
犯人グループは、流動性の低い中国株を購入対象に選び、自らが保有する銘柄を高値で売却することで、利益を不正に得ていた可能性が高い。これは明らかな株価操縦であり、証券取引法上の重大な違反行為に該当する。
この犯人は株式市場の流動性や休業日を利用し、楽天銀行と楽天証券を結びつけた自動入金機能を悪用して資金移動をスムーズにおこなっていた。19日の15時というタイミングも狙いすましたものだった。翌20日は祝日で証券会社の窓口が閉まっており、被害者が即座に対応できない状況を見越した犯行である。
ただ、楽天証券は「情報漏洩や資産流出はない」という声明を出している。つまり、被害者は知らないうちにフィッシング詐欺でやられた可能性が高い。
フルインベストの電子書籍版!『邪悪な世界の落とし穴: 無防備に生きていると社会が仕掛けたワナに落ちる=鈴木傾城』
かなり高度に作り込まれた偽サイトだったか
今回の楽天証券に対する不正アクセス事件がフィッシング詐欺だとすると、かなり高度に作り込まれた偽サイトだったのかもしれない。最近の偽サイトの精度は極めて高く、公式サイトと見分けがつかないレベルに仕上がっている。
被害者の多くは、楽天証券あるいは楽天銀行を名乗るメールやSMSを受け取り、その中に記載されたリンクから偽サイトにアクセスし、ID・パスワード、さらには取引暗証番号まで入力してしまったのだろう。
おそらくURLも巧妙に似せた文字列が用いられており、受信者が一瞬の判断で誤認するには十分な設計がされていたはずだ。こうした攻撃は、楽天証券のユーザー数が多いことを前提に、大規模に仕掛けられた可能性がある。
興味深いことに、攻撃タイミングにも明確な戦略が存在したようだ。翌日が祝日であることを利用し、その前日の15時に集中的に攻撃が実行されていた。
このタイミングを図る戦略は、還付金詐欺やオレオレ詐欺でも多用されるものであり、それを考えると今回の犯人は今回が初めてではなく、他にも「経験がある」はずだ。ドメインを用意し、偽サイトを用意し、フィッシング詐欺で大量のID・パスワード・取引暗証番号を入手して、タイミングを見て一気に仕掛ける。
本当に悪質だ。
また、二要素認証を導入していた利用者もいたが、それが迂回された可能性もある。フィッシングサイト内でログイン認証後、リアルタイムに操作がおこなわれる「セッション乗っ取り型」の高度な技術が用いられていたのかもしれない。
ここまでやられたのなら、個人の過失と片づけられるレベルではないような気もする。
『邪悪な世界のもがき方 格差と搾取の世界を株式投資で生き残る(鈴木傾城)』
楽天証券の対応は後手に回ったともいえる
楽天証券は今回の事件について、フィッシング詐欺が原因であることを認めたうえで、自社システムからの情報漏洩や顧客資産の流出は一切ないと主張している。それは、「流出は一切ないので責任を負わない」のような主張にも聞こえてしまう。
ユーザーのあいだでは「対応が冷たすぎる」との批判も噴出している。
楽天証券は事件発覚直後にHPやメールを通じて注意喚起を実施し、ID・パスワードの変更と二段階認証の設定を推奨した。また、セキュリティ対策として従来から計画していた「リスクベース認証」の導入を前倒しで実施したと説明している。
このリスクベース認証とは、ログイン時の端末情報やアクセス地域をもとに、不審な行動を検出する仕組みである。「普段と異なる」判定を受けた場合にのみ、電話番号を用いた認証がおこなわれる。
電話番号を利用した認証なので、たしかに「第三者が突破できる可能性」が格段に小さくなる。それはそれでいいのだが、被害に遭ってから「対応した」と言われても被害者はたまったものではないだろう。
「やるなら、もっと早くやってくれ」と思うはずだ。そういう意味で、楽天証券の対応は後手に回ったともいえる。
もっとひどいのは、被害者の多くが補償を求めているのだが、楽天証券側は「ネット取引における正式なログイン後の操作は本人の責任」として、原則補償の対象外とする姿勢を明示していることだ。
たぶん、今後は訴訟になっていくものと思われる。場合によっては、金融庁の指導や業界団体による調査が入ることも考えられる。
顧客情報の保護に関しても、楽天証券は「情報漏洩はない」と断言しているが、被害が楽天銀行と楽天証券に集中していることから、「グループ内のセキュリティ体制は本当に大丈夫なのか」と懸念を抱く声は多く出てきている。
『亡国トラップ-多文化共生- 多文化共生というワナが日本を滅ぼす(鈴木傾城)』
できることは、何でもやっておく必要がある
今回の事件を通じて明らかになった最大の教訓は、「メールのリンクには細心の注意を払ってクリックする」という一点に尽きる。被害者の多くは、メールやSMSで届いたリンクを不用意にクリックし、そのまま偽サイトでログイン情報を入力していた。
それで資産が盗まれたのだ。
フィッシング詐欺に対抗するためには、送られてきたリンクから直接ログインしないことが何より重要なのだ。
メールに「こちらからログインしてください」と記載されていても、そのURLをクリックせず、自分で該当の公式サイトをブラウザに打ち込んでアクセスするという基本動作を徹底すべきだ。
資産を入れているアカウントなのであれば、二段階認証の設定は必須である。
楽天証券ではメールアドレス宛に絵が送られてきて、その絵を合わせることによってログインするという興味深い追加認証サービスがあるのだが、こうしたものを設定していないユーザーも依然として多い。
IDとパスワードだけでログインできる状態では、フィッシングによる乗っ取りに無防備だ。当たり前だが、セキュリティの基本はきちんと押さえておかないと、大金は簡単に盗まれてしまう。
パスワードの使い回しなんかもっての他だし、スマートフォンやPCなどの端末についても、最新のOS・セキュリティアップデートを適用しておくべきだ。できることは、何でもやっておく必要がある。
ネット証券の利便性は、正しく利用すれば大きな武器になるが、自らを守れなければ最悪の事態を招く。フィッシング詐欺でカネが戻ってくることはほとんどない。場合によっては破産してしまう人すらもいる。今回の楽天証券事件は、そうした現実を生々しく突きつける事件となった。
個人的にはフィッシング詐欺、投資詐欺の犯人は死刑でいいと思っている。現在は10年以下の懲役らしいが……。
