証券会社のパスワードは絶対に使い回さないで！（417号）

2025年に入ってから、証券会社での不正取引による被害が広がっています。

今回は、その被害から我が身を守る方法についてお話をします。


1. 被害の状況

2025年の年明けから、複数の証券会社で「身に覚えのない株式の売却」や「出金指示」が相次いで報告されました。
特に被害が顕著だったのは、ネット取引専業の証券会社。被害額は多いものでは数千万円に及び、全国で数百件を超えています。金融庁の発表によれば、1〜6月の半年だけで、5700億円を超える被害とのこと。

どのケースも共通していたのは、「口座情報が第三者に使われていた」という点。
ログイン履歴を見ると、普段とは違った場所、特に海外からのアクセスが多く、いずれも正規のIDとパスワードを使った“なりすまし”によるものでした。


2. 異例の申し合わせ

通常、証券会社では「本人確認が正常に行われた上での取引は原則有効」ですので、正しいIDとパスワードでログインされた以上、補償の対象からは外れてしまいます。

この仕組み、クレジットカードでの不正利用とはかなり違っているのですね。
クレジットカードでは、以前から不正利用が一定数発生することもあり、それを前提とした体制と補償スキームが整っています。だから、割とカンタンに補償してもらえるのですね。

そんな中、2025年5月に日本証券業協会は異例ともいえる発表を行いました。
「今回の不正利用については、加盟各社が一定の補償を行う方向で調整する」というのです。

背景には、フィッシングメール詐欺やリスト型攻撃など、本人の努力で何ともしがたい攻撃が多く、またSNSを通じた社会的批判の高まりがありました。
つまり、「個人の責任だけで片づけるのはマズそうだ」と、業界が認めたとも言えます。

さらに、2025年8月には具体的な補償内容が公表されました。
会社によって対応は異なるようですが、半額（一部証券会社は全額）は補償される方針になりました。


3. 不正ログインのテクニック

不正ログインのテクニックにはいろいろな方法があります。
その中で、今回の被害を拡げた攻撃方法は以下の２つと言われています。
　1. フィッシングメール
　2. リスト型攻撃

以下では、それぞれについて手法と対策を解説します。


4. フィッシングメールによる不正ログイン

フィッシングメールというのは、いかにも本物らしい（内容はウソ）の警告メールを送る。
その内容を信じた被害者が、メールのリンクをクリックし、本物そっくりに作られたニセサイト（犯罪者側が運営している）でIDとパスワードを入力してしまうというもの。

フィッシングメールの恐さは、利用者が犯罪者にIDとパスワードを自らバラしてしまう点にあります。
一般に「不審なメールは開かない」と言われますし、ほとんどの場合は気付くわけですが、それでも何かの拍子に騙されてしまうのが人間です。
パスワードの窃取といった被害では、例え千回に一回であっても、騙されれば被害を受けてしまいます。

さて、これの対策は実にシンプルです。
要はパスワードを覚えなければいいんです。
そりゃそうですよね、覚えていなければ入力できませんから、そもそもバラすことができません。

じゃあ、具体的にはどうすればいいのか？
パスワードをパソコンやスマホに自動生成させればいいのです。
そして、それをパソコンやスマホに覚えてもらうのです。

もし、間違って、フィッシングメールのリンクをクリックしても、パスワード管理機能はちゃんとホンモノとニセモノを識別してくれます。
（技術的にはURL（https://...co.jp/...のアレ）を用いて実現します）

パスワードを覚えてなければ、絶対に洩れません。
「知らない」というのは最強のガード方法なのです。


5. リスト型攻撃による不正ログイン

過去に様々な組識から漏洩したIDとパスワードの組み合わせを販売している地下サイト（ダークウェブ）があります。
こういったリストを購入して、そこに載っているID/パスワードの組み合わせを片っ端から試してログインしようという攻撃で、これをリスト型攻撃と言います。

こちらも対策はシンプルです。
パスワードの使い回しを止めることです。

特に今回問題となっている、証券会社、銀行については、絶対に使い回しを止めてください。

上述したように、金融機関では、基本的に不正利用への補償はないからです。
今回は、あまりに被害が甚大であるため、業界の信頼確保のためもあり、補償を受けられることになりましたが、これは極めて例外的な措置です。

今後を考えると、我が身を守るためにはパスワードの使い回しは絶対に避けるべきなのです。
それを避けるには、フィッシングメール対策と同様、パソコンやスマホにパスワードを覚えさせるのが安心です。


6. でも機械に覚えさせるのはどうもなあ

どうしても機械に覚えさせるのに抵抗があるという方は、手帳やメモ書きでも構いません。手帳や手書きメモというのはインターネットから絶対にアクセスできませんから、意外に安全です。

とはいえ、筆者はそれでも機械に覚えてもらうことをオススメします。
その理由は、「間違って悪党にパスワードを教えてしまう」リスクが防げるからです。

何度も書きますが、知らない情報は絶対に洩れません。
「人は知らない」、でも「機械は知っている」状態の方が安全なのです。

もちろん、機械に覚えさせることによるデメリットはあります。
機械が壊れてしまった場合や盗まれた場合です。

ですが、機械の故障や盗難の可能性なんてホントにわずかですし、完全に防ぐことは現実的ではありません。

セキュリティ対策に限らず、リスク対策というのは、「手を打てるところに注力する」のが原則です。
対策が難しいことを気にしすぎるより、できることを確実にやる方が精神衛生上も気楽ですしね。

ですから、「最近の出来の良いフィッシングメールに引っかかる可能性」という対策可能なリスクに労力を注いでいただきたいと思います。

筆者はパスワードを機械に覚えさせることを強く推奨します。


7. じゃ、パスキーを使ってみるか

「よし、それならパスキーってのを使ってみるか」と思っていただいた方、ご愛読をありがとうございます。

しかし、非常に残念なお知らせをしなくてはなりません。
現状、筆者が調べた範囲では、パスキーに対応している証券会社は見つかりませんでした。

しかし、各社もパスキーの有用性には着目されているようで、2025年秋を目拠に導入すると宣言している証券会社が複数あるようです。

現状では、パスワード管理機能を利用することに加えて、現状で各社が導入済の多要素認証を利用されることを強くおすすめします。


8. まとめ

証券会社での不正利用による被害の深刻化を受け、8/3には被害者への補償内容が公表されました。会社によって対応は異なるようですが、少なくとも半額は補償される方向となってようです。

補償が行われることは喜ばしいことですが、そもそも被害に会わない方が良いのは言うまでもありません。

利用者側でも取れる措置はいくつもありますので、是非皆さんも自衛をなさってください。

今回は、証券会社の不正利用のお話からパスワードの使い回しの危険性とパスワード管理機能の利用のオススメについてお話しました。

次回もお楽しみに。

今日からできること
　・証券会社、銀行のパスワードは絶対に使い回しをしない。
　・手帳、メモでの管理も良いが、スマホやパソコンに覚えさせるのがベスト
　・現状でパスキーが使える証券会社はないようだが、案内があれば乗り換えを推奨
　・上記を踏まえ、現状では多要素認証の併用がオススメ。

（本稿は 2025年8月に作成しました）