テスタさん乗っ取り騒動は、テレビでも報道され、証券会社が一部補償へ、というニュースもありました。

２段階認証が機能していないのでは、など、証券会社側の問題点ばかりがクローズアップされていますが、今回の事件に関しては昨日のブログに書いた通り、証券会社側のミスや抜け穴ではないだろうというのが私の見解です。

では、証券会社側になんの問題もないのか、というとそんなことはなく、「証券会社のセキュリティは銀行より甘いのではないか」と私は思っています。

 

銀行にあって証券会社にないもの、「物理トークン」

 

日本初のネット銀行のジャパンネットバンク銀行（現在のPayPay銀行）は物理トークンを発行していましたし、現在でも下記のようなカード型物理トークンを発行しています。

右下のON/OFFを押すと６桁のワンタイムパスワードが表示され、振込の際などこの６桁を入力しないと振込が実行されません。

PayPay銀行の他にも、三菱UFJ銀行などメガバンク、ネット銀行では住信SBIネット銀行など多くが利用しています。

それに対して、証券会社では、過去に利用していた会社もあるようなのですが、現在、物理トークンを発行している会社は、私が調べた限りありません。アプリやデバイス認証になっています。アプリやデバイス認証になっていればいいじゃないか、と思われるかもしれませんが、メールで変更や再発行が可能な会社が多いのです。昨日のブログでも指摘しましたが、「メールも漏れてたらアウト」です。

その点、「物理トークン」は盗まれない限り安心です。

 

なぜ、証券会社のセキュリティは甘めなのか？

 

ネット証券の口座乗っ取りが話題になった数ヶ月前、まずはじめに私が思ったことは、「証券口座乗っ取っていいことあるの？出金先は本人名義口座のみだし、犯人は何をしたいんだろう？」です。

この、「証券口座を乗っ取っても、現金化はしづらいから大丈夫」という考えを証券会社の経営陣も持っていたのではないでしょうか？

また、証券会社は手数料商売です。

お客さんは買いたい時に、すぐに買いたい、売りたい時に、すぐに売りたいわけです。二段階認証で手間取っていたら、せっかくのチャンスを逃す可能性もあります。二段階認証が面倒だからと、二段階認証のない別の証券会社に口座を移されてしまう可能性もあります。

そういう事情から、セキュリティ面において、銀行よりは甘めになっていたのではないでしょうか？

 

一部補償はどうなるの？

 

昨日のニュース、証券会社が一部補償と聞いて驚いたのですが、楽天証券は2月11日に、SBI証券は4月21日に、それぞれ、乗っ取られても補償しない旨の約款変更を公表しています。両証券会社とも今回報道された、一部補償する証券会社に入っていますので、補償しない方向性からの急転換です。

楽天証券　総合証券取引約款（改定後）

第10条（ログイン情報の管理）
3 項　当社が発行するユーザID・パスワード、ならびにお客様が入力した認証コード等が正しく照合されたうえで行われた取引について、**当社は損害賠償その他一切の責任を負いません。**ただし当社の故意または重過失がある場合を除きます。
4 項　二要素認証その他当社が推奨するセキュリティ設定を行わなかったことに起因する損害についても同様とします。 楽天証券

SBI証券　インターネット取引取扱規程（2025年4月版）

第14条（ID・パスワード等の管理責任）
3 項　ユーザーネーム・パスワード・ワンタイムパスワードその他当社が認める認証方式による照合が完了した取引はお客様ご自身の取引とみなし、当社は損失を補償いたしません。
4 項　前項の規定にかかわらず、当社の故意又は重過失が認められる場合を除きます。 SBI証券

では、実際にどういう補償になるのでしょう？結構難しいと思います。

今回の乗っ取り犯がやったことは、およそ下記のような流れのようです。

１　乗っ取った証券口座で持っている株式を売却して現金残高を増やす

２　特定の株式を大量購入して値を釣り上げる

３　値が上がった株式を、犯人の口座で売却

つまり、２で買う「特定の株式」とは犯人が持っている株式です。

この場合の、金銭的損失について考えます。

簡単のため、一般口座でA社株100万円分の口座が乗っ取られ、全株売却され、B社株100万円となったとします。証券会社の手数料もゼロとします。

上のスキームだと、元々、安い株を無理に買い上げるのですから、B社株100万円分は、すぐに値下がりする可能性が高いです。

B社株が90万円になってしまったとしたら、10万円損失が出たように見えますが、その時、A社株も下がっていたら、損失は10万円より少なくなり、A社株がもっと下がって、80万円になっていたら逆に10万円の利益になります。

逆にB社株が上がっていたら？

考え出すときりがないですね。

ダークウェブにさまざまなデータやパスワードが流出している現在、ダークウェブに流出できないリアルなモノ（たとえば物理トークン）の価値が再認識されそうです。

固定IPアドレスを提供している当社としては、IPアドレス制限すればいいのに、と思いますが、設定が専門的すぎると思われているのか、ほとんど導入がないのが残念です。実は楽天銀行にはIP制限がありますが、楽天証券にはありませんし、他の証券会社でも見当たりません。

1. 事件の概要

X（旧Twitter）で投資情報を発信する個人投資家 テスタ さん（累計投資益100億円超）が、2025年4月30日夜～5月1日朝にかけて 楽天証券口座を不正アクセスされた と報告しました。
本人の投稿によれば「乗っ取られました。証券会社は楽天証券です」 (テスタ on X: “朝一2段階認証の確認メールがきて 誰かログイン試み …)。ニュースサイトでも直ちに取り上げられ、ネット証券のセキュリティを巡り大きな話題になっています。​Rocket Boys

2. 時系列で見るハッキングの手口の推測

日時 (推定)	犯人の行動（推測）	なぜ気づかなかったか（推測）
4/30 夜	楽天証券にログイン→二段階認証メール発行	犯人がテスタさんのメールにもアクセスし、認証メールを開封・削除
同夜	株を売買し、約定通知メールも削除	ログインしない限り、わからない
5/1 早朝	再びログイン→二段階認証メール発行	今回は犯人の認証メール削除前に本人がメールを発見し被害判明

私の推測は 「証券口座のID・パスワードだけでなくメールアカウントまで突破されていた」 のではないか？ということ。二段階認証メールを犯人が読める状態では、追加認証は事実上機能しません。

---

3. 二段階認証は“無意味”ではない

二段階認証は 「別チャネルで本人確認」 する仕組み。ところが今回のように メール が乗っ取られると無力化 されることが多くあります。
対策は「攻撃者が同時に奪えない別チャネル」を選ぶこと。

---

4. 今日からできる実践的セキュリティ対策

1. パスワードを使い回さない
   • パスワード管理アプリで長く複雑・サイトごとに個別設定。
2. 二段階認証に使うメールの“ログイン履歴”を定期確認
   • Gmailなら「詳細」をクリック→IP や端末をチェック。
3. メールより安全度が高い手段を使う
   • 電話番号認証
   • 認証アプリ（Google Authenticator・Microsoft Authenticator 等）
   • 物理セキュリティキー（FIDO2／YubiKey 等）
4. メール内のリンクを踏まない
   • 「Amazonアカウント停止」など緊急を装うメールでも、必ず公式アプリ／ブックマークから直接ログインして確認。
5. SNSでの“生活リズムのヒント”を減らす
   • テスタさんは頻繁にポストしているため、犯人が就寝時間を推測した可能性あり。投稿時間や位置情報には注意。

---

5. まとめ

• 二段階認証は メールが安全であることが前提。
• メールまで漏洩していると、簡単に突破される。

皆さんも今日から早速、パスワード管理と二段階認証の見直し、メールアカウントのログイン履歴チェックを始めてみてください。