証券は銀行よりセキュリティが甘い!?〜そのもっともな理由も含め考察〜

テスタさん乗っ取り騒動は、テレビでも報道され、証券会社が一部補償へ、というニュースもありました。

2段階認証が機能していないのでは、など、証券会社側の問題点ばかりがクローズアップされていますが、今回の事件に関しては昨日のブログに書いた通り、証券会社側のミスや抜け穴ではないだろうというのが私の見解です。

では、証券会社側になんの問題もないのか、というとそんなことはなく、「証券会社のセキュリティは銀行より甘いのではないか」と私は思っています。

 

銀行にあって証券会社にないもの、「物理トークン」

 

日本初のネット銀行のジャパンネットバンク銀行(現在のPayPay銀行)は物理トークンを発行していましたし、現在でも下記のようなカード型物理トークンを発行しています。

右下のON/OFFを押すと6桁のワンタイムパスワードが表示され、振込の際などこの6桁を入力しないと振込が実行されません。

PayPay銀行の他にも、三菱UFJ銀行などメガバンク、ネット銀行では住信SBIネット銀行など多くが利用しています。

それに対して、証券会社では、過去に利用していた会社もあるようなのですが、現在、物理トークンを発行している会社は、私が調べた限りありません。アプリやデバイス認証になっています。アプリやデバイス認証になっていればいいじゃないか、と思われるかもしれませんが、メールで変更や再発行が可能な会社が多いのです。昨日のブログでも指摘しましたが、「メールも漏れてたらアウト」です。

その点、「物理トークン」は盗まれない限り安心です。

 

なぜ、証券会社のセキュリティは甘めなのか?

 

ネット証券の口座乗っ取りが話題になった数ヶ月前、まずはじめに私が思ったことは、「証券口座乗っ取っていいことあるの?出金先は本人名義口座のみだし、犯人は何をしたいんだろう?」です。

この、「証券口座を乗っ取っても、現金化はしづらいから大丈夫」という考えを証券会社の経営陣も持っていたのではないでしょうか?

また、証券会社は手数料商売です。

お客さんは買いたい時に、すぐに買いたい、売りたい時に、すぐに売りたいわけです。二段階認証で手間取っていたら、せっかくのチャンスを逃す可能性もあります。二段階認証が面倒だからと、二段階認証のない別の証券会社に口座を移されてしまう可能性もあります。

そういう事情から、セキュリティ面において、銀行よりは甘めになっていたのではないでしょうか?

 

一部補償はどうなるの?

 

昨日のニュース、証券会社が一部補償と聞いて驚いたのですが、楽天証券は2月11日に、SBI証券は4月21日に、それぞれ、乗っ取られても補償しない旨の約款変更を公表しています。両証券会社とも今回報道された、一部補償する証券会社に入っていますので、補償しない方向性からの急転換です。

楽天証券 総合証券取引約款(改定後)

第10条(ログイン情報の管理)
3 項 当社が発行するユーザID・パスワード、ならびにお客様が入力した認証コード等が正しく照合されたうえで行われた取引について、**当社は損害賠償その他一切の責任を負いません。**ただし当社の故意または重過失がある場合を除きます。
4 項 二要素認証その他当社が推奨するセキュリティ設定を行わなかったことに起因する損害についても同様とします。 楽天証券

SBI証券 インターネット取引取扱規程(2025年4月版)

第14条(ID・パスワード等の管理責任)
3 項 ユーザーネーム・パスワード・ワンタイムパスワードその他当社が認める認証方式による照合が完了した取引はお客様ご自身の取引とみなし、当社は損失を補償いたしません。
4 項 前項の規定にかかわらず、当社の故意又は重過失が認められる場合を除きます。 SBI証券

では、実際にどういう補償になるのでしょう?結構難しいと思います。

今回の乗っ取り犯がやったことは、およそ下記のような流れのようです。

1 乗っ取った証券口座で持っている株式を売却して現金残高を増やす

2 特定の株式を大量購入して値を釣り上げる

3 値が上がった株式を、犯人の口座で売却

つまり、2で買う「特定の株式」とは犯人が持っている株式です。

この場合の、金銭的損失について考えます。

簡単のため、一般口座でA社株100万円分の口座が乗っ取られ、全株売却され、B社株100万円となったとします。証券会社の手数料もゼロとします。

上のスキームだと、元々、安い株を無理に買い上げるのですから、B社株100万円分は、すぐに値下がりする可能性が高いです。

B社株が90万円になってしまったとしたら、10万円損失が出たように見えますが、その時、A社株も下がっていたら、損失は10万円より少なくなり、A社株がもっと下がって、80万円になっていたら逆に10万円の利益になります。

逆にB社株が上がっていたら?

考え出すときりがないですね。

ダークウェブにさまざまなデータやパスワードが流出している現在、ダークウェブに流出できないリアルなモノ(たとえば物理トークン)の価値が再認識されそうです。

固定IPアドレスを提供している当社としては、IPアドレス制限すればいいのに、と思いますが、設定が専門的すぎると思われているのか、ほとんど導入がないのが残念です。実は楽天銀行にはIP制限がありますが、楽天証券にはありませんし、他の証券会社でも見当たりません。