楽天・SBI証券で不正アクセス被害が多発中──何が起きているのか？

2025年春、国内最大級のネット証券である楽天証券とSBI証券において、ユーザーのアカウントに対する不正アクセスが相次いで確認されている。

「ログイン履歴に見覚えのないアクセスがある」「身に覚えのない出金指示があった」といった声がSNSや口コミサイトにあふれ、各社は相次いで注意喚起を出す事態に発展した。

これらの被害は、いずれも第三者がユーザーになりすまし、正規のアカウントに不正ログインする「リスト型攻撃」または「フィッシング詐欺」が主な原因とされている。

楽天証券では一部ユーザーの口座から暗号資産購入の形で不正出金が行われ、SBI証券ではログイン後に「顧客情報の書き換え」を行い、資金の移動が試みられたケースが報告されている。

主な原因：リスト型攻撃とフィッシングの巧妙化

不正アクセスの主な手口は次の2つだ。

① リスト型攻撃

過去に別のサービスから流出したID（メールアドレス）とパスワードの組み合わせを用いて、複数のサービスに自動的にログインを試みる手法。ユーザーが複数のサイトで同じパスワードを使い回していた場合、特に脆弱となる。

② フィッシング詐欺

「セキュリティ確認のため」などと偽ったメールやSMSから偽サイトに誘導し、ID・パスワード・生年月日などを入力させて情報を盗む。証券口座を狙ったケースでは、公式のデザインを完全に模倣したページが使われるなど、見分けが難しくなっている。

こうした攻撃は、ユーザー側のリテラシーや対策が不十分な場合、驚くほど簡単に“成功”してしまう。

不正アクセスされたとき、どんな被害が起こるのか？

被害事例の多くは次のような流れで発生している。

• ● 知らないうちに不正ログインされる（気づかない）
• ● ログイン後、登録先メールアドレス・電話番号が変更される
• ● 「取引暗証番号の再設定」や「二段階認証の無効化」が行われる
• ● 外部口座への出金、または暗号資産の購入・送金が行われる

こうなると、ユーザーが気づいた頃には資金はすでに海外へ送金済みで、取り戻すのが極めて困難になる。

一部の証券会社では補償制度があるが、「ユーザー側の過失」と判断された場合、補償が受けられないケースもあり、対応は慎重を要する。

被害に遭わないために──今すぐできるセキュリティ対策10選

ここでは、金融・証券サービス利用者が「最低限やっておくべきセキュリティ対策」を10項目に絞って紹介します。特別な技術は不要。今すぐ実践可能な内容ばかりです。

1. 1. ID・パスワードの使い回しをやめる
   他サービスと共通のログイン情報は即変更。金融系サービスには「専用のパスワード」を設定するのが鉄則。
2. 2. パスワードを定期的に変更する
   最低でも半年に一度は変更。文字数は12文字以上、記号・数字・大文字を混ぜるのが理想。
3. 3. 二段階認証を必ず設定
   認証アプリ（Google Authenticatorなど）を使うとより強固。SMS認証のみでは不正アクセスを完全に防げない。
4. 4. ログイン履歴を定期的にチェック
   見覚えのないIPアドレス・時間帯のアクセスがあれば、即パスワード変更。
5. 5. メールアドレスも使い分ける
   証券・金融系のアカウントには、SNSや通販と別のメールアドレスを使うことで、リスト型攻撃の被害確率を下げられる。
6. 6. メール・SMSのリンクは直接開かない
   どんなに本物そっくりでも、リンクは踏まない。公式サイト・アプリからアクセスする癖を。
7. 7. 不正ログイン通知メールの設定をONに
   ログイン通知、暗証番号変更通知、出金通知など、リアルタイムで知る仕組みを必ず有効に。
8. 8. パスワード管理アプリを活用
   長く複雑なパスワードを安全に管理できるツール（例：1Password、Bitwardenなど）を導入。
9. 9. 古いメールを削除しよう
   証券会社から届くログインIDや仮パスワードが記載されたメールは、万一アカウントが乗っ取られた際に悪用されるリスクがある。
10. 10. 家族にもセキュリティ教育を
    同居家族が誤ってフィッシングリンクを開いたり、IDを共有するなどのリスクも。最低限の知識共有は不可欠。

証券会社の対応と補償制度──楽天証券・SBI証券の動き

■ 楽天証券の対応

楽天証券は不正アクセス発覚後、即座に該当アカウントをロックし、本人確認手続きを徹底。ログイン通知機能の強化と、二段階認証の推奨通知をアプリ上で繰り返し表示しています。

また、一定条件を満たせば不正出金に対する補償制度も運用されていますが、「ID・パスワードの漏洩にユーザー側の過失がない場合」に限られます。

■ SBI証券の対応

SBI証券も、ユーザーからの報告をもとに不正アクセスの追跡と調査を実施。IDやパスワードの変更を求める通知を広く発信するほか、出金先口座の登録制限・強化、電話による本人確認の徹底など、対策を講じています。

SBI証券も同様に、「ユーザーの不注意によるフィッシング被害」などが確認された場合には補償対象外となることがあり、注意が必要です。

“過失なし”を証明するには？──ユーザーがとるべき記録と行動

不正アクセスが発覚した際、証券会社とのやりとりで重要になるのが「ユーザーに過失がなかったかどうか」です。

その判断に大きく関わるのが、以下のような“記録”と“行動”です。

• ● 公式アプリ・サイト以外からのアクセス履歴がないこと
• ● パスワード管理が適切であったこと（第三者と共有していない）
• ● 二段階認証を設定していたこと（設定日時の記録）
• ● フィッシング詐欺メールを開いていないこと（該当メールの保管）
• ● 不正ログインに気づいた後、即座に通報・連絡していること

これらを日常的に意識し、ログやメール履歴、認証アプリの設定画面などを適切に保管しておくことが、いざというときの“自己防衛”につながります。

今後のユーザーに求められる“自己防衛リテラシー”とは？

かつての金融常識では、「信頼できる金融機関に任せておけば安心」とされてきました。

しかし、インターネットとAPI連携が前提の現在では、“機関任せ”の姿勢では資産を守りきれません。ネット証券に限らず、銀行・暗号資産・ポイントサービスに至るまで、「自己防衛リテラシー」は今後の生活インフラとも言えるスキルになります。

リテラシーが高い人は「自分を疑う」

たとえば以下のような行動は、すべて高リテラシー層の“基本”です：

• ● 「このメール、本当に正規のものか？」と一度冷静に考える
• ● 「普段と違うURL」に違和感を覚える
• ● 「数分で済む二段階認証」を面倒がらない
• ●「便利な自動ログイン」ではなく「セキュアなログアウト」を選ぶ

つまり、「自分の判断は間違っているかもしれない」と仮定して、1ステップの確認を挟める人こそが、最も被害に遭いにくいのです。

国家レベルのサイバー攻撃と、個人投資家が直面する現実

実は、証券口座や金融サービスへの攻撃の中には「国家ぐるみ」の可能性も否定できません。

ロシア、中国、北朝鮮など、一部の国家系グループによる大規模なハッキング事件は過去に何度も報告されており、特に「経済インフラ」を狙う動きは年々加速しています。

個人投資家が直接これらの攻撃対象になることは少ないとはいえ、被害を受ける「入り口」には十分なり得ます。

“フィッシング経由”で金融インフラに侵入されるリスク

特定のターゲットにピンポイントで攻撃する“スピア型フィッシング”は、メール一通から全社システムが乗っ取られる入り口になることも。

こうした高度な攻撃の多くが、実は「一人の油断」から始まっているのです。

「金融機関を信用しすぎない」生存戦略

これは決して“金融機関が悪い”という話ではありません。

ただし、どれだけ高い技術を持った機関であっても、セキュリティに「絶対」はありません。 だからこそ、利用者側にも“リスク前提”の視点が求められます。

• ● ログイン履歴は毎日確認
• ● 異常があればすぐ通報
• ● 「証券口座の残高」は必要最低限にして、即日出金できる体制を
• ● 資産を複数口座に分散する

つまり、金融機関に「守ってもらう」のではなく、 「預けているリスクを自分で管理する」という発想にシフトする必要があります。

まとめ──「安全」ではなく「安全に近づく努力」を

楽天証券やSBI証券で相次いだ不正アクセス問題は、単なる“一時的なトラブル”ではなく、今後も続くであろう「情報と資産を狙う時代」の象徴的な事件でした。

そして、すべてのネットユーザーはその当事者になりうる──これは、もはや“情報弱者”だけの問題ではないのです。

大切なのは、「100%安全なサービス」を求めることではなく、 「リスクを前提にした使い方」を徹底し、 「もしもの時に備える行動」を今すぐ始めること。

あなたの口座を守るのは、あなただけです。

“安全”は与えられるものではなく、築いていくものだという意識を、 今日からあなたの中にインストールしてください。