以下の内容はhttps://k5963k.hateblo.jp/entry/2025/04/26/191035より取得しました。

【警告】楽天証券から拡大する深刻なフィッシング詐欺の実態と対策 - 単なる詐欺を超えた脅威

セキュリティ

 

www.youtube.com

 

www.youtube.com

被害増えすぎて証券会社も大分焦ってるみたい。平常時ならいくら何でもこんな制限は設けないかと。。。それだけ中国株詐欺がひどいことに・・・

どこの国が詐欺を仕掛けたか全く見当もつきません。

 

@SBI証券

 

 

k5963k.hateblo.jp

 

k5963k.hateblo.jp

k5963k.hateblo.jp

www.gizmodo.jp

 

 

Google Search

 

 

個人的意見 

メール認証やSMS認証、autheticatinアプリ認証は今回の手口だと突破されやすい。厳密なデバイス認証や電話を利用者側からかける認証ならセキュリティが高まる。

組織内かユーザーがわからないけど、2段階認証を突破されるということはキー入力か通信の内容をリアルタイムで盗聴されている。それも大人数。

情報セキュリティの勉強してる人はその理由を考えようね

情報セキュリティは座学より実践経験が重要

 

 

【警告】楽天証券から拡大する深刻なフィッシング詐欺の実態と対策 - 単なる詐欺を超えた脅威

2025年初頭から楽天証券を発端として始まった大規模なフィッシング詐欺が日本の証券業界を揺るがしています。この問題は単純なフィッシング詐欺にとどまらず、マルウェア、キーロガー、MITM(Man-in-the-Middle)攻撃などの高度な手法を用いた組織的なサイバー攻撃へと進化しています。金融庁の発表によると、不正アクセス件数は2025年2月の43件から4月には1,847件と、わずか2カ月で40倍以上に急増しており、被害総額は500億円を超える深刻な事態となっています4。従来のウェブサイト側の対策だけでは防ぎきれない脅威に対し、個人と組織がどのような対策を取るべきか、根本的な解決策について詳しく解説します。

【はじめに】楽天証券から始まり拡大する証券会社へのサイバー攻撃

2025年初頭から、楽天証券を発端とした大規模なフィッシング詐欺が日本の証券業界を揺るがしています。この問題は単純なフィッシング詐欺にとどまらず、マルウェア、キーロガー、MITM(Man-in-the-Middle)攻撃などの高度な手法を用いた組織的なサイバー攻撃へと進化しています。金融庁の発表によると、不正アクセス件数は2025年2月の43件から4月には1,847件と、わずか2カ月で40倍以上に急増。被害総額は500億円を超える深刻な事態となっています4。本記事では、この急増する証券会社への攻撃の実態と、私たち個人や組織が取るべき対策について詳しく解説します。

目次

  1. 楽天証券から始まった大規模フィッシング詐欺の全容

  2. マルウェア、キーロガー、MITM攻撃 - 高度化する手口の仕組み

  3. なぜウェブサイト側の対策だけでは不十分なのか

  4. 個人ユーザーが今すぐ実施すべき対策

  5. 組織が取り組むべき根本的な対策

  6. 日本の証券会社と金融機関の今後の動向

  7. まとめ - 信頼性の低いソフト・IT機器からの脱却

1. 楽天証券から始まった大規模フィッシング詐欺の全容

被害の急拡大と影響を受けた証券会社

金融庁の公式発表によると、2025年2月から4月16日までの約2カ月半で、証券会社への不正アクセスが急増しています4。当初は楽天証券に集中していた攻撃が、現在ではSBI証券、野村證券、マネックス証券、SMBC日興証券、松井証券の計6社に拡大しています5

被害状況(2025年2月〜4月16日時点)

  • 不正アクセス件数: 3,312件45

  • 不正取引件数: 1,454件5

  • 売却金額: 約506億円45

  • 買付金額: 約448億円45

攻撃の特徴と手口

多くの不正取引では、攻撃者が口座内の株式を勝手に売却し、その売却代金で中国株を大量購入するという特徴的な手口が見られます15。専門家によると、この一連の攻撃は単純な金銭目的を超えた組織的な活動の可能性が指摘されています。

被害に遭った多くのユーザーが報告しているように、攻撃の準備段階では以下のような手法が使われています:

  1. 偽の「楽天証券からの重要なお知らせ」メールの送信2

  2. 公式サイトに酷似した偽のログインページへの誘導2

  3. ID・パスワードなどの認証情報の窃取3

  4. 窃取した情報を使った不正ログインと株式の売却5

  5. 売却資金による中国株の大量購入15

2. マルウェア、キーロガー、MITM攻撃 - 高度化する手口の仕組み

フィッシングを超えた高度な攻撃手法

今回の証券会社を狙った攻撃では、単純なフィッシングを超えた複数の高度な手法が組み合わされています。

キーロガーによるパスワード盗聴

キーロガーとは、PCやスマートフォンでのキーボード入力を記録するマルウェアです6。攻撃者はこれを使って以下の情報を窃取します:

  • ログインID・パスワード6

  • 取引暗証番号7

  • 二要素認証のコード6

キーロガーには以下の種類があります:

  • ソフトウェア型: 不正なアプリやウイルスとして端末に侵入67

  • ハードウェア型: キーボードと端末の間に物理的に挿入される装置67

MITM(Man-in-the-Middle)攻撃

MITM攻撃は「中間者攻撃」とも呼ばれ、ユーザーと正規サイトの間の通信を傍受する高度な攻撃手法です8

  • 通信経路に攻撃者が介入し、送受信されるデータを傍受・改ざん8

  • 暗号化通信(HTTPS)さえも突破可能な手法も存在8

  • 銀行や証券会社が導入している二要素認証すら回避できるケースも10

新型マルウェアによる継続的な監視

一度感染すると、継続的に端末を監視し続けるマルウェアも確認されています311。これらは:

  • 端末のセキュリティソフトを無効化11

  • ブラウザの通信内容を監視11

  • 暗号化された通信内容さえも解読可能11

  • 遠隔操作で端末を完全に乗っ取ることも3

3. なぜウェブサイト側の対策だけでは不十分なのか

「フィッシングサイトにひっかからないように用心していた。二段階認証を設定していたはずなのに不正アクセスをされた。不思議。」

という声がSNSに数多くあります。

これは単にフィッシングサイトに用心する 、 二段階認証を設定すれば万全ではない、想定を上回る不正アクセスがあったと考えるべきです。

一時的なフィッシング詐欺で済む問題ではなく、日常から通信盗聴、キーロガーなどのマルウェアが仕込まれている可能性が高いです。

 

 

 

サイト側対策の限界

現在の証券会社のセキュリティ対策には、以下のような限界があります:

フィッシングサイト撲滅のいたちごっこ

  • フィッシングサイトは主に海外サーバーから運営され、撤去に時間がかかる9

  • 一つのサイトが閉鎖されても、新たなドメインですぐに別のサイトが立ち上がる9

  • 数時間で模倣サイトをクローンできるツールが闇サイトで出回っている

二要素認証の突破

  • MITM攻撃やリアルタイムフィッシングでは、二要素認証のコードさえも即時窃取可能10

  • ワンタイムパスワードを入力しても、攻撃者は同時にそれを横取りして不正使用できる10

  • バイオメトリクス認証(指紋・顔認証)も環境によっては突破される可能性がある

ブラウザレベルの脆弱性

  • ブラウザ自体が改ざんされると、HTTPS通信でも安全性が保証されない11

  • プラグインやエクステンションの脆弱性が悪用されるケースも増加11

  • ブラウザレベルで通信を傍受するMITB(Man in the Browser)攻撃も急増中11

金融庁の発表によれば、2025年2月に43件だった不正アクセス件数が、わずか2カ月後の4月には1,847件に急増していることからも、現行の対策では防ぎきれない実態が明らかになっています4

4. 個人ユーザーが今すぐ実施すべき対策

個人が取るべき対策

証券会社の口座を保有している方は、以下の対策を速やかに実施しましょう:

1. パスワード管理の徹底

  • パスワード管理ソフトの利用: 1Password、LastPassなどのパスワード管理ツールを使用4

  • 使い回し禁止: 異なるサービス間でパスワードを共有しない4

  • 複雑なパスワード: 英大文字・小文字・数字・記号を組み合わせた12文字以上のパスワードを設定4

2. 正規サイトへの安全なアクセス

  • 公式サイトをブックマーク: 証券会社の公式サイトは必ずブックマークし、そこからアクセス24

  • URLの直接入力: 不明なリンクをクリックせず、公式URLを直接入力する習慣をつける2

  • メール・SMSのリンク禁止: たとえ公式と思われるメールやSMSでも、リンクを安易にクリックしない29

3. 多層防御の構築

  • 二要素認証の設定: 楽天証券など各証券会社が提供する二要素認証を必ず有効化45

  • ログイン通知の活用: ログイン時にメール通知される機能を設定し、不正ログインを早期発見4

  • 不審な取引の監視: 定期的に取引履歴を確認し、身に覚えのない取引を素早く発見3

4. 端末のセキュリティ強化

  • OSとアプリの更新: 常に最新バージョンに更新してセキュリティホールを塞ぐ4

  • 信頼できるセキュリティソフト: 評価の高いセキュリティソフトを導入し、常に最新状態を維持4

  • 不審なソフトのインストール禁止: 出所不明のソフトウェアは絶対にインストールしない7

5. 組織が取り組むべき根本的な対策

組織レベルの対策

企業や組織は、より根本的な対策が求められます:

信頼性の低いソフトウェアの排除

  • サプライチェーンの見直し: 使用するソフトウェアの開発元や提供元を厳格に評価

  • 導入前の脆弱性検査: 新規ソフトウェア導入前に徹底的なセキュリティ検査を実施

  • 既存システムの棚卸: 現在使用中のソフトウェアの安全性を再評価し、不審なものを排除(セキュリティが以前より不安視されているTikTok、zoomを筆頭に)

  • k5963k.hateblo.jp

  • www.itmedia.co.jp

  • www.j-cast.com

  • 私も情報セキュリティに対してきちんと裏どりをして情報ソースを明示して論理的に忖度しないで説明するガタガタ言う人だから日本政府(デジタル庁)など感情的な話をする人に取っては敵なのでしょうね 被害に遭った人は選挙いきましょう

信頼性の低いIT機器の排除

  • 中国製IT機器のリスク評価: 日本政府の指針に従い、セキュリティリスクの高い製品を特定 追記 ものすごくサイバーセキュリティに関して技術レベルの低い日本政府の指針はザルだから推奨しません

  • ハードウェア調達基準の厳格化: セキュリティを考慮した調達基準を設け、遵守する

  • 定期的な機器検査: 既存機器に不正な改変や組み込みがないか定期検査を実施

従業員教育と内部対策

  • セキュリティ意識向上: 定期的な教育・訓練で従業員の意識を高める12

  • アクセス権限の最小化: 必要最小限の権限のみを付与する原則を徹底12

  • 異常検知システムの導入: 不審な挙動や通信を検知するシステムの導入

6. 日本の証券会社と金融機関の今後の動向

業界の対応と今後の動向

証券業界の取り組み

日本証券業協会は以下の取り組みを進めています:

  • 多要素認証の義務化を検討中4

  • 一部の中国株のオンライン取引を一時停止1

  • インターネット取引のセキュリティガイドラインの策定

金融庁の対応

金融庁は2025年4月に緊急対策を発表し、以下の措置を講じています:

  • サイバーセキュリティセルフアセスメント(CSSA)の実施拡大

  • 証券会社に対する緊急システム監査の実施4

  • フィッシング詐欺被害者への補償制度の検討

今後予想される変化

  • 生体認証(指紋・顔認証)の普及加速

  • 取引限度額設定の義務化4

  • 国産セキュリティソリューションの開発促進

7. まとめ - 信頼性の低いソフト・IT機器からの脱却

根本的解決に向けて

今回の証券会社を標的としたサイバー攻撃は、単なるフィッシング詐欺の域を超え、日本のサイバーセキュリティ体制の根本的な見直しを迫るものとなっています。

重要なポイント

  • フィッシング詐欺は単なる詐欺ではなく、マルウェア、キーロガー、MITM攻撃などと組み合わせた複合的な脅威に進化している38

  • ウェブサイト側の対策だけでは不十分で、端末側・利用者側・組織側それぞれの対策が不可欠10

  • 日本全体として信頼性の低いソフトウェア・IT機器を排除する取り組みが必要(→ 同時に情報セキュリティに関しては無政府状態だから、政府は根本対策は何もしないで傍観だけするという声が上がることが心配です。 政府からの指示待ちではなく自主的に動くべき)

最終的な対策

私たち個人ができることは限られていますが、セキュリティ意識を高め、基本的な対策を徹底することで被害を最小限に抑えることができます34。一方、組織や国レベルでは、信頼できるIT環境の構築に向けた取り組みを加速させることが急務です。

株式投資や資産運用は私たちの生活に欠かせないものとなっています。だからこそ、安全に取引できる環境づくりに、個人も組織も社会全体で取り組んでいく必要があるのです。

Citations:

  1. https://toyokeizai.net/articles/-/871510?display=b
  2. https://internet.watch.impress.co.jp/docs/news/2003115.html
  3. https://note.com/chihiro4131/n/n4b4a1bc3a885
  4. https://www.watch.impress.co.jp/docs/news/2008088.html
  5. https://www.yomiuri.co.jp/national/20250418-OYT1T50109/
  6. https://www.skyseaclientview.net/media/article/2608/
  7. https://exosp.net/blog/view/id/136
  8. https://unit42.paloaltonetworks.com/ja/meddler-phishing-attacks/
  9. https://media.k2-assurance.com/archives/29437
  10. https://www.nikkei.com/article/DGXMZO55285610V00C20A2X30000/
  11. https://www.gmo.jp/security/cybersecurity/cyberattack/blog/mitb/
  12. https://www.ntt.com/business/services/application/online-storage/bst-sh/lp/article-internal-fraud.html
  13. https://www.sso-introduce.net/column/keylogger.html
  14. https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20221028_26099/
  15. https://wedge.ismedia.jp/articles/-/25596?page=3&layout=b
  16. https://japan.hani.co.kr/arti/international/36771.html
  17. https://kpmg.com/jp/ja/home/insights/2024/09/cyber-security-risk-supplychain.html
  18. https://weblom.net/rakutenfishing/
  19. https://note.com/yuzuki777/n/n89b2bc576f83
  20. https://solution.toppan.co.jp/toppan-digital/contents/terminology03.html
  21. https://www.rakuten-sec.co.jp/web/security/crime/phishing.html
  22. https://www.rakuten-sec.co.jp/web/info/info20250325-01.html
  23. https://www.lifehacker.jp/article/2504-how-to-prevent-fishing-fraud/
  24. https://news.tv-asahi.co.jp/news_economy/articles/900023288.html
  25. https://act1.co.jp/column/0155-2/
  26. https://www.antiphishing.jp/news/alert/rakutensec_20250401.html
  27. https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
  28. https://www.rakuten-sec.co.jp/web/security/crime/hacking.html
  29. https://www.gmo.jp/security/cybersecurity/cyberattack/blog/mitm/
  30. https://www.rakuten-sec.co.jp/web/security/crime/
  31. https://www.nikkei.com/article/DGXZQOUB182VL0Y5A410C2000000/
  32. https://www.rakuten-sec.co.jp/web/security/request/caution_environment.html
  33. https://www.gluegent.com/service/gate/column/mitm/
  34. https://news.yahoo.co.jp/articles/d90bdd85c9d77357c6c667ebb98cb9d82c010bba
  35. https://www3.nhk.or.jp/news/html/20250415/k10014779291000.html
  36. https://www.rakuten-sec.co.jp/web/security/measures/
  37. https://www.crowdstrike.com/ja-jp/cybersecurity-101/cyberattacks/credential-theft/
  38. https://www.dlri.co.jp/report/ld/441951.html
  39. https://rocket-boys.co.jp/security-measures-lab/securities-account-hijacking-phishing-surge-japan-2025/
  40. https://www.youtube.com/watch?v=bm-ysTfyUfA
  41. https://xtech.nikkei.com/atcl/nxt/column/18/00001/10532/
  42. https://www.yomiuri.co.jp/national/20250405-OYT1T50132/
  43. https://kabutan.jp/news/marketnews/?b=n202504180475
  44. https://diamond.jp/zai/articles/-/1048079
  45. https://www.antiphishing.jp/news/entry/20250406_nhk.html
  46. https://www.nikkei.com/article/DGXZQOUB2361D0T20C25A4000000/
  47. https://www.itmedia.co.jp/news/articles/2504/18/news142.html
  48. https://news.yahoo.co.jp/articles/5b2d3bf6ebf0341deb0559d06819c64fbd6653ed
  49. https://www3.nhk.or.jp/news/html/20250418/k10014782881000.html
  50. https://s.sbisec.co.jp/smweb/pr/gaccnt.do?page=corp_security_index
  51. https://news.yahoo.co.jp/articles/198600f6a9d005ba51eb5a4f3df5908d8a04f14c
  52. https://frauddetection.cacco.co.jp/media/fraud-access/2892/
  53. https://www.lac.co.jp/lacwatch/report/20220307_002893.html
  54. https://note.com/r_devotion2024/n/n6dfb92ceca6a
  55. https://sp.mito.co.jp/corporate/information/2025/04_post-396.html
  56. https://www.f5.com/ja_jp/glossary/man-in-the-middle-attack-mitm
  57. https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20231130_16937/
  58. https://news.yahoo.co.jp/articles/e4f35d7495603f560912fd9b9e29d83c278202cb
  59. https://www.lanscope.jp/blogs/cyber_attack_cp_blog/20250326_25844/
  60. https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20230703_31858/
  61. https://www.ntt.com/bizon/malware-types.html
  62. https://dempa-digital.com/article/653167
  63. https://www.gmo.jp/security/cybersecurity/cyberattack/blog/keylogger/
  64. https://www.nri-secure.co.jp/glossary/mtm-attack
  65. https://www.onelogin.com/jp-ja/learn/6-types-password-attacks
  66. https://news.yahoo.co.jp/articles/3077ef3a76f16e5ab58e773eba55bde3bf74a4ed
  67. https://note.com/decentier/n/n01015f1b19e9
  68. https://newsdig.tbs.co.jp/articles/withbloomberg/1875302?display=1
  69. https://www.keepersecurity.com/blog/ja/2024/10/07/how-to-prevent-man-in-the-middle-attacks/
  70. https://news.yahoo.co.jp/articles/1f486c443344fc5a7f47329f8ee11045679fe585
  71. https://biz-journal.jp/company/post_387152.html
  72. https://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2020/08.html
  73. https://www.keepersecurity.com/blog/ja/2023/10/16/how-to-detect-man-in-the-middle-attacks/
  74. https://www.nikkei.com/nkd/company/article/?DisplayType=2&ng=DGKKZO88152910Y5A410C2EA4000&scode=8628
  75. https://www.ssk-kan.co.jp/topics/topics_cat05/?p=10604
  76. https://news.yahoo.co.jp/articles/819daedf95ed897471ec2efbf094ebe7010af54f
  77. https://www.nikkei.com/article/DGXZQOUB088NT0Y5A400C2000000/
  78. https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/index.html
  79. https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=service&dir=service&file=home_antifraud.html
  80. https://ecmarketing.co.jp/contents/archives/3520
  81. https://news.yahoo.co.jp/articles/b5dfac5a95accbc072cab5732f3f4c93f6758d26
  82. https://www.cwj.jp/column/entry/3181/
  83. https://cybersecurity-jp.com/column/23974
  84. https://faq.rakuten-sec.co.jp/90001102
  85. https://www.e-guardian.co.jp/blog/20230720.html
  86. https://insights-jp.arcserve.com/malware-infection-cases
  87. https://3qcloud.jp/knowledge/218
  88. https://www.lanscope.jp/blogs/cyber_attack_cpdi_blog/20230519_30318/
  89. https://blog.trendmicro.co.jp/archives/6187
  90. https://sp-jp.fujifilm.com/contents_school/column/column55.html
  91. https://root-s-cloud.jp/column_post/column_post-1757/
  92. https://www.quest.co.jp/column/cloudsecurity-risk.html
  93. https://www.sei-info.co.jp/mcore/column/vulnerability/
  94. https://jp.security.ntt/insights_resources/ot_security_magazine/02
  95. https://www.c-ntn.co.jp/knowledge/pc_security
  96. https://www.meti.go.jp/policy/netsecurity/wg3/akakenshou_tebiki_202205kaitei.pdf
  97. https://japan.zdnet.com/article/35223169/
  98. https://xtech.nikkei.com/atcl/nxt/column/18/00594/021400002/
  99. https://www.ipa.go.jp/security/reports/economics/scrm/index.html
  100. https://www.skyseaclientview.net/skyseanews/vol64_2/
  101. https://isabou.net/knowhow/colum-it/colum23.asp
  102. https://jbpress.ismedia.jp/articles/-/65884
  103. https://www2.deloitte.com/jp/ja/pages/risk/articles/cr/cyber-security-auto-supply-chain-security-risk.html
  104. https://www.ipa.go.jp/security/controlsystem/ps6vr70000011hf6-att/000025097.pdf
  105. https://xtech.nikkei.com/atcl/nxt/column/18/00155/100800031/?P=2
  106. https://www.sanae.gr.jp/column_detail1317.html
  107. https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html
  108. https://rocket-boys.co.jp/security-measures-lab/rakuten-securities-phishing-email-example-alert/
  109. https://note.com/s2t/n/nd3ba5a17fc97
  110. https://www.fsa.go.jp/news/r5/cyber/20240423.html
  111. https://news.yahoo.co.jp/articles/d90bdd85c9d77357c6c667ebb98cb9d82c010bba?page=3
  112. https://www.pentasecurity.co.jp/pentapro/entry/cybersecurity-predictions-of-2024
  113. https://www.fsa.go.jp/policy/cybersecurity/index.html
  114. https://news.yahoo.co.jp/articles/c7f0839e897d880cb1a71903a84a98b0d9ecadd3
  115. https://prtimes.jp/main/html/rd/p/000000269.000049287.html
  116. https://xtech.nikkei.com/it/atcl/column/15/121400285/121400005/
  117. https://ascii.jp/elem/000/004/263/4263005/
  118. https://japan.zdnet.com/article/35230029/
  119. https://www.nri-secure.co.jp/blog/guidelines-for-cybersecurity-in-the-financial-sector
  120. https://www.mito.co.jp/corporate/information/2025/04_content-13.html

 





以上の内容はhttps://k5963k.hateblo.jp/entry/2025/04/26/191035より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14