今回は、2025年に入って急増している「証券口座の不正乗っ取り被害」について、システムエンジニア視点で整理し、『我々が業務でどう活かせるか?』を考えてみたいと思います。
Table of Contents
何が起こっているのか?
2024年末から2025年春にかけて、日本国内の証券会社で大規模な不正アクセスと不正取引が発生しました。
- 楽天証券、SBI証券、野村證券など、主要10社が被害対象
- 乗っ取り件数:3,312件/不正取引:1,454件
- 総売却金額:約506億円、買付金額:約448億円(=株価操縦の形跡あり)
- 多くの被害者がフィッシング詐欺やマルウェア感染によってアカウントを奪われている
不正アクセス・取引の手口
リアルタイム・フィッシング
- 証券会社を騙るSMSやメールで、偽ログイン画面に誘導。ユーザーがIDとパスワードを入力した瞬間に、攻撃者が即座にログインするという「リアルタイム性」が特徴です。
マルウェア(Infostealer)
- スマホやPCに感染させることで、認証情報・SMS・ワンタイムコードなどを窃取。Androidでは「FakeSpy」、PCでは「Redline」「Lumma」などが観測されています。
SEとして注目すべきセキュリティ課題
この一連の被害を通じて、SEとして意識すべきポイントは以下だと考えます
1. 多要素認証(MFA)の強制化
- 証券業界でも今や「MFA必須」が業界標準になりつつある。
- システム設計時はSMSだけでなく、TOTP(Google Authenticatorなど)やFIDO2などの採用を検討する。
2. リスクベース認証の導入
- デバイス指紋、IP地理情報、行動履歴などから「異常」を検出。
- リスクスコアが高ければ、追加認証を求める設計を行う。
3. アカウント監査ログの可視化
- ユーザーのログイン履歴やAPIアクセスを、ユーザー自身も確認できる設計にする。
- 監査ログはSIEM連携で異常検知にも活用する。
4. 社内/顧客向けのセキュリティ教育
- フィッシング詐欺の見分け方、マルウェアの危険性などを啓発するUX導線をアプリ/サイト内に設ける。
- 内部システムでも、「誰が何を見ているか」の監査が行える仕組みを設ける。
まとめ
今回のような不正取引事件を通じて強く感じるのは、セキュリティは設計段階から考慮すべき「システムの基本要件」だということです。
WAFや監視、二要素認証などの「守りの手段」はもちろん重要ですが、根本的なセキュリティの強さは、システムそのものが「攻撃されにくく、破られにくい構造」で作られているかにかかっています。
そのためには、全体が共通の認識として以下の視点を持つ必要があります
- 「不正利用されるかもしれない」という前提で設計・仕様を見直す
- 認証・認可・ログ・通信といった基盤を、セキュリティの視点で精査する
- 被害が発生したとき、迅速に検知・対応できる構成と運用を準備しておく
セキュリティは「特定のチームの仕事」ではなく、すべてのエンジニアが意識しなければならない問題です。
どんなフェーズに関わるエンジニアであっても、「その設計は本当に安全か?」と問い続ける必要があります。
信頼されるシステムとは、後から守られるものではなく、最初から「守れる形」で作られているものであると思います。
だからこそ私たちは、セキュリティを“後追いの対応”ではなく、“最初に織り込む品質”として捉える必要があると今回の件を通じて痛感しました。
今後はこれまで以上にセキュリティを意識し、設計や実装のあらゆる場面で「安全か?」という視点を持って取り組んでいきたいと思います。
