550円(税込)/月
7台まで利用可
最新セキュリティニュース 2025.5.29_リアルタイムフィッシング詐欺とは?証券口座を狙った被害が急増
@niftyセキュリティ編集部(ニフティ株式会社)
ここ数カ月、証券会社の口座を狙ったフィッシング詐欺の被害が急増しています。
「株を勝手に売却された」「覚えのない取引で多額の損失が発生した」といった深刻な被害が発生しており、その手口はますます巧妙化しています。
これまでは、ID・パスワードの管理や二段階認証の設定が主な対策とされてきましたが、最近ではこれらの対策をすり抜ける「リアルタイムフィッシング」詐欺と呼ばれる新たな手口が登場し、被害が拡大しています。
本記事では、証券口座で実際に起きている被害事例をご紹介し、従来の対策では防ぎきれない「リアルタイムフィッシング」詐欺への有効な対策方法について分かりやすく解説します。
現在増加している証券口座被害の事例
今年の3月ごろから、証券口座を悪用した以下のような被害が多数報告されています。
- 株式などの不正売買:知らない間に保有している株式が売却されたり、意図しない銘柄が購入されたりする。
- 不正出金:証券口座から不正に現金が引き出される。
- 登録情報の不正変更:連絡先や出金先口座などが勝手に変更される。
これらの被害の多くは、後述するフィッシング詐欺によって、証券口座のログインIDやパスワード、さらには二段階認証の認証コードまでもが盗まれてしまうことが原因の1つとなっています。
なぜ被害が発生するのか?巧妙化するフィッシング詐欺の手口
そもそもフィッシング詐欺とは、実在する金融機関や証券会社などを装い、偽のウェブサイトへ誘導することで、口座情報を盗み取ろうとするサイバー攻撃です。従来のフィッシング詐欺では、盗まれたIDとパスワードを使って不正ログインが行われるケースが主流でした。
この対策として有効だったのが「二段階認証」です。二段階認証は、IDとパスワードに加えて、スマートフォンに送られるSMSコードやワンタイムパスワードなど、複数の要素を組み合わせて認証を行うことで、セキュリティを高める仕組みです。
万が一、IDとパスワードが漏洩したとしても、攻撃者はワンタイムパスワードなどを入手できないため、不正アクセスを防ぐ効果が期待できます。
しかし、急増している「リアルタイムフィッシング」詐欺は、この二段階認証を設定しているだけでは防ぎきれない、より巧妙な手口です。
「リアルタイムフィッシング」の流れ
攻撃者は、ユーザーと正規ウェブサイトの間に偽のサイトを介在させ、あたかもユーザーが正規サイトと直接やり取りしているかのように見せかけながら、入力情報をリアルタイムで盗み取ります。
- 緊急性を装った偽の通知
「お客様の口座で異常な取引が検知されました」「セキュリティ強化のため、至急ご確認ください」といった、ユーザーの不安を煽る件名や内容のメール・SMSを送りつけ、偽のログインページへ誘導します。
- 本物そっくりの偽サイトへ誘導
誘導先の偽サイトは、本物のサイトのロゴやデザイン、URLの一部まで精巧に模倣しており、一見しただけでは偽物と見抜くことが非常に困難です。
- 認証情報をリアルタイムで取得
ユーザーが偽サイトとは知らずにIDやパスワードを入力すると、その情報は即座に攻撃者の元へ送信されます。
- 二段階認証コードも突破
攻撃者は、入手したID・パスワードを使い、正規のサイトへログインします。正規サイトから二段階認証の入力を求められると、攻撃者は偽サイト側でも二段階認証の入力を促す画面を表示させます。ユーザーが偽サイトにワンタイムパスワードなどを入力すると、その情報も即座に攻撃者に渡り、正規サイトで認証を突破されてしまいます。
- 不正操作の実行
正規サイトへのログインに成功した攻撃者は、即座に株式の不正売買、不正出金、登録情報の変更などを行います。ユーザーが気づいた時には、すでに大きな被害が発生している可能性があります。
このように、ユーザーの操作とほぼ同時に認証情報を取得し、正規サイトのセキュリティを回避するため、対処が難しい脅威となっています。従来の「二段階認証を設定しているから安心」という考えだけでは、もはや十分な対策とは言えなくなっています。
巧妙化するリアルタイムフィッシング詐欺から身を守るには?
では、巧妙化するリアルタイムフィッシング詐欺に対して、私たちはどのように身を守れば良いのでしょうか。重要なのは、詐欺サイトにアクセスしてしまっても、それが偽物であることを見抜くことです。しかし、サイトは巧妙に模倣されているため、見た目だけで判断するのは非常に困難です。そこで有効な対策手段の一つとして、セキュリティソフトの活用を推奨しています。
ニフティが提供する総合セキュリティサービス「常時安全セキュリティ24」は、お客様の金融取引を守るための「バンキング保護」機能を搭載しています。
この「バンキング保護」機能は、お客様がアクセスしようとしているウェブサイトが正規の金融機関や証券会社のサイトであるかを識別します。
本物のサイトにアクセスした際には、「バンキング保護が有効です」といった通知が表示され、安全な接続であることをお知らせします。 もし、フィッシングサイトのような危険なサイトにアクセスしようとした場合には警告が表示されるため、誤って情報を入力してしまうリスクを大幅に減らすことができます。
正常なサイトと判定された場合の表示
偽サイトと判定された場合の表示
日々巧妙化するサイバー攻撃から大切な資産と情報を守るためには、常に最新の情報を入手し、適切な対策を講じることが不可欠です。「常時安全セキュリティ24」が、お客様の安全なインターネットライフの一助となれば幸いです。
▼「常時安全セキュリティ24」で、より安全なオンライン取引を実現しませんか?
- ※2025年5月時点の情報です。
@niftyセキュリティ編集部(ニフティ株式会社)
ニフティ株式会社は1986年に創業し、30年以上にわたりご家庭や企業のみなさまへ光回線などのインターネットサービスを提供しています。(→@niftyセキュリティはこちら)
Message
メッセージ
「@niftyならインターネットを安心・安全に楽しく使える」
私たちは、お客様からそう言っていただけるプロバイダーを目指し、
様々な活動に取り組んでいます。
