証券会社のセキュリティ問題に皆はどう対応しているの？

証券会社の口座が不正アクセスにあって、保有している株式を勝手に売却されて、更に売却した資金で中国株を購入させられて、その株が下手株（意図的に株価操作されている状態の株）なので大きく下落して、購入させられた中国株に含み損が発生して、投資資産が大きく棄損するというケースが多発した証券業界。

銀行口座で不正アクセスにあった場合は、口座に入っていた金額を他の銀行に送金されるという事例があるけど、証券会社の場合は自分の銀行口座以外には送金できません。また送金先の銀行口座を変更する場合にも、ある程度のセキュリティ（二段階認証とか）があるので簡単には変更できないので、証券会社の口座内を勝手に他の銀行口座に送金する事は比較的難易度が高く、今まではあまり被害がありませんでした。

ところが、今回は保有している株式を勝手に売り払い、下手株のような小型株を購入されて、犯人側はあらかじめ仕込んでおいたその株を高値になったところで売り払って利益を得る反面、不正アクセスにあった投資家は高値掴みした株式を握らされて大きな損失が出るという新たな手法でした。

こういった不正アクセスによる被害が報道され始めた当初は、フィッシング詐欺によるパスワードやIDの流出が原因なのではないかという意見が主流だったのですが、その後はウィルスによるパスワードの流出（抜き取り）などの可能性も浮上し、そして現在では証券会社側の対策の未熟さによって被害が拡大している可能性もあるようですね。

基本的には、フィッシング詐欺やウィルスによる流出などが主な原因なのですが、それに対する対策として証券会社側もログインの時点での二段階認証などを実施していますが、せっかく設定した二段階認証もアプリなどは二段階認証がなくてもログインできる状況になっているなどの不備があり、不正アクセスが続いているようです。

事態が大きく動いたのは、著名な投資家で莫大な資金を運用しているテスタさんが楽天証券において不正アクセスにあったと公表した事。そして、二段階認証をしていたけど意味が無かった事を伝えた事により、証券会社側も事態を重くみて、今までは不正アクセスに関する被害についての保障は一切しない方針だったのが、状況によっては一部保障を検討するようになりましたね。

楽天証券では、ネットからのログインには二段階認証が掛かりますが、アプリからのログインには二段階認証が発生せずにIDとパスワードが分かれば入りたい放題でした。更に、せっかく設定している二段階認証も複数回間違ってもロックが掛からずに、何度も試せるというお粗末な状態のようです。SBI証券でも、バックアップサイトからはIDとパスワードが分かれば入りたい放題という状況であり、どちらもIDとパスワードが流出すればやられてしまう可能性が大という事になります。

これらが発覚してからは、投資家の間でも口座自体にロックを掛ける人が増えているようですね。証券会社に連絡して、売買自体が出来ないように口座をロックして、暫くは様子をみる投資家が増えているみたいです。

現状で投資家側が出来る対応としては、口座をロックするのが一番安全な方法なのかもしれませんね。

IDやパスワードが流出する主な原因としては、フィッシング詐欺にあってメールからのリンクを踏んでIDやパスワードを入力して盗まれてしまう場合と、PCがウイルスに感染してブラウザ（Google Chrome、Safari、Microsoft Edgeなど）に保存しているパスワードが盗まれる場合と、PCがウィルスに感染してキーボードの入力情報を盗まれる（キーロガー）事でIDやパスワードが流出する場合があるようです。

さて、私の場合はというと、フィッシング詐欺にあう可能性は限りなく低いと考えています。なぜなら、証券会社や銀行からくるメールは、たとえ公式から来たものであったとしてもメールに記載のリンクは絶対に踏まない事にしているからです。ブックマークしている公式サイトから直接アクセスするので、メールからIDやパスワードを入力する事はないです。

しかしながら、フィッシング詐欺にあわなくても、ウィルス感染から流出する可能性があります。

私の場合は、PCにおいてはウィルスソフトを導入しているのでウィルスに感染する可能性は低いと思っています。とはいえ、念のためにブラウザに保存している証券会社のIDやログインパスワードは削除しておきました（取引パスワードは元々保存していない）。なので証券会社にアクセスするたびにIDやパスワードを入力する必要があります。

この場合は、逆にキーボードの入力情報を抜かれる危険性もあります。ただ、証券会社の場合はソフトキーボード（画面に表示されたキーボードをマウス操作で入力する）を採用しているので、キーボードを押した時にキーロガーで情報を抜かれるという事はないと思います。

まあ、でもソフトキーボードの情報を盗む（画面情報を外部に送信するウィルス）ものもあるみたいなので、疑いだしたらキリがないんだけどね。

あと、パスワードなどは各証券会社や銀行ごとに違ったものを使用しているので、何処かのIDやパスワードが流出しても、それぞれが違うので全部が被害にあうという事はないです。

それでも、不意にIDやパスワードが流出する可能性はあるとは思います。ウィルスソフトをすり抜けてウィルスに感染していたり、アクセスしたサイトが悪意のあるサイトでウィルスが仕込まれていたりすることがあるかもしれません。基本的には、ウィルスソフトが防ぐはずだけど完全ではないと思うので、不意のリスクはあると思います。

それと、これはないと信じたいですが、証券会社側からIDやパスワードが流出する（盗まれる）可能性がゼロではない以上は、自分が想定している範囲外からのIDやパスワードの流出があるかもしれません。

そんな時のために、証券会社へログインする際に二段階認証を設定しておけば安心なのですが、その肝心な二段階認証をやっていても証券会社側の穴（セキュリティ上のミス）によって、二段階認証をしていてもIDとパスワードさえ分かればアクセスできるという脆弱性がある以上は、現段階では投資家側で出来得る限りの予防策を講じるのがベストなのかもしれませんね。

現状では、状況が落ち着くまで（証券会社側が全てのチャンネルに二段階認証の対応が完了するまで）は、口座のロックをしておく方が無難なのかもしれないかなと思っています。

とりあえず、一日でも早く証券会社側には対応をして欲しいですよね。