証券口座乗っ取り被害、大手10社が補償方針グローバル比較と拡大背景に見る“日本市場の脆さ”

証券口座の乗っ取り被害が拡大するなか、大手証券10社が異例の補償に踏み切った。背景にはグローバルな対応との差や、巧妙化する不正アクセスの実態がある。

不正アクセス被害の深刻化で補償へ　業界が示した異例の対応

証券口座が不正に乗っ取られ、投資家の知らぬ間に株式などが売買される被害が全国で相次いでいる。日本証券業協会は5月2日、こうした被害への対応として、大手10社の野村証券、大和証券、SMBC日興証券、みずほ証券、三菱UFJモルガン・スタンレー証券、SBI証券、楽天証券、マネックス証券、松井証券、三菱UFJeスマート証券が補償方針で足並みを揃えたことを発表した。

従来、証券会社各社の約款には「IDやパスワードの漏洩による損失について責任を負わない」との記載があり、補償は慎重に扱われてきた。しかし今回は、業界がその原則を見直し、一定の補償を講じる異例の判断となった。

補償内容は、被害者のパスワード管理やセキュリティ対策の有無を踏まえて個別判断される見通しだ。

金融庁のまとめによると、2024年2月から4月中旬までに確認された不正取引は1,454件、被害額は約950億円。規模は無視できない水準に達しており、補償方針の転換は避けられない状況だった。

なぜ今、不正アクセス被害が拡大しているのか？

その背景にあるのは、攻撃手法の高度化だ。最近の傾向では、AIやボットを用いた「クレデンシャルスタッフィング（流出IDとパスワードの総当たり攻撃）」が多発している。単純なログイン情報の流出では済まず、複数の証券会社にまたがる同時多発的なアクセスが確認されている。

セキュリティ企業によれば、こうした攻撃では国内外で流出した認証情報が巧妙に“再利用”されており、本人が気づかぬうちに口座が操作されてしまうケースも目立つ。もはや個人のパスワード管理だけでは防げない段階に入っている。

現在、証券業界では「多要素認証」の導入義務化が議論されており、日本証券業協会もこれを後押ししている。

世界の証券市場はどう対応しているのか？補償とセキュリティ対策の国際比較

今回の日本の補償方針は、国際的に見ればようやくグローバル水準に近づきつつある段階にある。

米国では、チャールズ・シュワブやフィデリティなどの大手証券会社が、不正アクセスによる損失について「顧客に過失がないと認められる場合は100％補償する」と明記した制度を整備している。

さらに、シンガポール金融管理局（MAS）も2021年以降、金融機関に対して不正アクセス被害への補償制度を求めるなど、顧客保護の観点から明確な対応を促している。

一方、日本では「損失補てん禁止」（金融商品取引法第39条など）の規定が補償の障壁となり、制度設計が後手に回ってきた経緯がある。

SNSで広がる不安と怒り　「プロでも防げないのか？」

こうした状況に、SNS上では不安と怒りが広がっている。著名個人投資家のテスタ氏が楽天証券の口座乗っ取り被害をX（旧Twitter）で公表した際には、「プロの投資家でも防げなかったのか」「本当に本人の投稿なのか？」といった投稿が相次ぎ、騒然となった。

一般ユーザーからは「多要素認証を義務にすべき」「これではNISAどころではない」といった制度不備への批判が噴出する一方、「補償に踏み切った姿勢は評価できる」と一定の理解を示す声もある。

長期化する捜査と犯人特定の困難さ

不正アクセス事件の捜査は依然として難航している。サイバー攻撃の特徴として、IPアドレスの偽装やVPN（仮想プライベートネットワーク）の多重使用が挙げられ、これにより犯人の足取りを追うことは非常に困難だ。さらに、犯人は複数国にまたがる国際的な犯罪を行っている可能性も高く、捜査機関は多くの障壁に直面している。そのため、事件の解決には長期化が予想されており、証拠を押さえるまでには時間がかかると見込まれている。