とくに2025年から日本の投資家を震え上がらせているのが「証券口座乗っ取り事件」です。
昔は銀行口座が狙われていましたが、犯罪者もアップデートを欠かしません。
今やターゲットは銀行預金から、より巨額の資産が眠る「証券口座」へと完全にシフトしました。
しかも「自分は二段階認証してるから大丈夫」なんて甘い考えは秒速で粉砕されます。
実際、総利益100億円超とされるカリスマ投資家・テスタ氏にも不正アクセスの被害報告があり、対策の難しさが浮き彫りになりました。
本記事では、急増する証券口座乗っ取り事件の最新手口から、犯人側の「組織的な手口(システム)」、そして「補償には限界がある」という見逃せない現実までを整理して解説します。
さらに、今日からできる鉄壁の防御策と、もし被害に遭った場合の最速の対処法も詳しく紹介します。
最後まで読むことで、あなたの証券口座のセキュリティを強化し、大切な資産を確実に守るための具体的な行動がわかります。
テスタも被害に遭った!証券口座乗っ取り事件の実態・カラクリは?
「まさか自分が…」という言葉は、被害者が必ず口にする台詞です。
しかし、データを見れば、それが「誰にでも起こりうる災害」であることがわかります。
まずは、証券口座乗っ取り事件の実態・カラクリを知ることから始めましょう。
2025年の証券口座乗っ取り件数は「異常増加」!その原因は?
2025年に入り、証券口座を狙ったサイバー攻撃は、まるでダムが決壊したかのような勢いで増加しました。
統計データは残酷な現実を突きつけています。
日本証券業協会や金融庁によると、証券口座乗っ取り被害は1~10月に9,300件以上確認され、その金額は計7,100億円超にのぼっています。
なぜこれほどまでに証券口座乗っ取りの被害は急増したのでしょうか?
それは、犯罪グループが「証券口座の方が銀行口座よりも稼げる」という事実に気づき、組織的な攻撃キャンペーン(大規模なフィッシング攻撃など)を展開し始めたからです。
被害が発生した証券会社も、毎日新聞によれば18社へと拡大しており、もはや「対岸の火事」と言える状況ではありません。
テスタが被害に遭った経緯と映し出された「既存対策の限界」
2025年5月1日、投資家界隈に衝撃が走りました。
カリスマ投資家・テスタ氏がX(旧Twitter)で楽天証券口座の乗っ取り被害を告白したのです。
テスタ氏は当然ながらセキュリティリテラシーが高く、二要素認証(2FA)もしっかり設定していました。
しかし、犯人は前日の夜間に侵入し、保有銘柄の売却注文を発注しています。
翌朝、テスタ氏の元に届いた二段階認証の通知で発覚しました。
テスタ氏がパスワード変更を試みている最中も、犯人はリアルタイムで操作を続けました。
結果的に、証券会社への緊急連絡による口座ロックで確定的な被害は免れましたが、一歩遅ければ数千万円、いや億単位の資産が流出していた可能性があります。
この事件は、「パスワード+SMS認証」という従来の防御壁が、最新のハッキングツールの前では紙切れ同然であることを証明してしまいました。
■テスタ氏のことを詳しく知りたい方はコチラの記事へ
正規サイトに見せかける「CoGUI」「AiTM」等の巧妙な罠
最新フィッシングの恐ろしさは、ユーザーが「正規操作をしている」と錯覚させたまま情報を抜く点にあります。
- CoGUIは、日本人のブラウザ・IPに最適化された「見破れない偽サイト」を生成
- AiTM攻撃は、入力されたID・パスワード・OTPを即座に正規サイトに転送
- 攻撃者はセッションクッキーを奪い、OTPなしでログイン継続が可能
つまり、ユーザーがどれだけ丁寧に正規の手順を踏んでも、裏側で攻撃者が全部コピーしてログインするという地獄の仕組みです。
実在の証券会社の名を語り、「重要なお知らせ」等でメールを送信してくる形が多いようです。
この手口に引っかかってしまうと、「自分の手で犯人を家に招き入れている」ことになってしまうんですね…。
証券口座乗っ取りの犯人の狙いは現金ではない?動機とビジネスモデル
「でも、証券口座から出金するのは難しいでしょ?本人名義の銀行口座にしか戻せないし…」
そう思う人も多いかもしれません。
しかし、犯人たちの狙いは「出金」ではありません。
犯人たちのビジネスモデルはもっと洗練されており、そして邪悪です。
犯人は「現金」ではなく市場そのものを利用して儲けている
証券口座からの直接的な現金窃取は、確かにハードルが高いです。
そこで、証券口座乗っ取りの犯人たちが目をつけたのが、市場の流動性を悪用した「相場操縦」です。
犯人たちにとって、あなたの口座は「お金が入っている財布」ではなく、「相場を動かすための操り人形」に過ぎません。
不正売却→不正買い付けの裏で成立する「現代版仕手戦」
具体的には「Pump and Dump(ポンプ・アンド・ダンプ)」と呼ばれる手口が使われます。
手口の流れはこうです。
- 仕込み(Accumulation):犯人たちは事前に、誰も取引していないような「クズ株(流動性の低い中小型株や中国株)」を、自分たちの口座で安値で大量に買い集めておきます。
- 換金(Liquidation):あなたの口座に侵入すると、あなたの保有株を成行注文で即座に全売却します。これで「買付余力」を作ります。
- 吊り上げ(Pump):その資金を使って、犯人たちが仕込んでおいた「クズ株」を、市場価格を無視した高値で大量に買い注文を出します。すると、クズ株の価格は急騰します。
- 売り抜け(Dump):株価が爆上がりしたタイミングで、犯人たちは自分たちが持っていた株を売り抜け、巨額の利益を確定させます。
- 残骸:買い支えを失った株価は暴落。あなたの口座には、見るも無惨に暴落した「ジャンク株」と、優良株を失った事実だけが残ります。
2025年11月28日にも証券口座乗っ取りの疑いで中国籍の二人が逮捕されましたが、この事件も似た手口ですね。
こちらの事件では、東証スタンダードに上場している企業の株価が不正に吊り上げられたとのこと。
今回初めて逮捕者が出たものの、まだ氷山の一角でしょう。
投資家の資産を燃料にして、犯人たちは莫大な利益を上げ、その金は暗号資産などに変えられて闇に消えていっているのです。
証券口座乗っ取りで実際に起きる被害とは?
証券口座乗っ取りの被害はお金だけではありません。
精神的、税務的、そして将来設計においても、その傷跡は深く残ります。
大切な資産が瞬時に破壊される「直接被害」
まず、物理的なダメージです。
長年かけてコツコツ積み上げた投資信託や、配当を楽しみにしていた高配当株などが、一瞬で換金されます。
これにより、株主優待や長期保有による配当増額の権利も、一度売却されればリセットです。
そして口座に残るのは、犯人が高値づかみさせた価値のない株式です。
損切りするのか、戻るはずもない株価を待つのか、地獄の選択を迫られます。
投資家が見落としがちな「二次被害」
ここからがさらに厄介です。
日本の複雑な税制が被害者に追い打ちをかけます。
- 勝手に利益が確定し「課税」が発生
- 不正取引が混ざり、確定申告が複雑化
- NISA枠の毀損(非課税枠は二度と戻らない)
とくにNISA枠の消滅は致命的です。
「将来のための非課税運用計画」が根本から破壊されます。
最悪の場合、加害者扱いになるリスク
さらに恐ろしいのは、形式上、あなたの口座から「相場操縦」となる注文が出されている点です。
これにより、証券取引等監視委員会(SESC)の調査対象になったり、証券会社から口座凍結措置を受けたりするリスクがあります。
被害者なのに犯罪者扱いされる……この精神的ストレスは計り知れません。
証券口座乗っ取り被害で証券会社からの保証はある?全額返金される?
「銀行預金なら基本的に全額戻ってくるはずだし、証券会社も同じでしょ?」
そう思いがちですが、証券口業界の常識は銀行とはまったく異なります。
全額戻らない?証券会社によって分かれる現実
現状、多くの主要ネット証券(SBI証券、楽天証券など)では、被害額の「50%」しか補償しない方針が一般的です。
これに対して、大手対面証券の中には全額補償というところもあります。
このため、必ずしも全額補償されるわけではありません。
とくに楽天証券やSBI証券といったネット証券だと、50%しか補償されないです。
補償されないケースもある
50%戻ってくればまだマシな方です。
以下のようなケースでは、補償が1円も出ない可能性があります。
- パスワードの使い回し
- 推測容易なパスワード
- 親族による犯行など
補償金は非課税だが「損失は戻らない」
一応の救いとして、支払われる補償金は所得税法上の「非課税所得」となり、税金はかかりません。
しかし、失われた資産の半分が消えた事実に変わりはありません。
また、本来得られるはずだった将来の利益(機会損失)も一切補償されません。
証券口座乗っ取りを防ぐために即対策したいことは?
補償が期待できない以上、できる唯一かつ最強の手段は「予防」です。
攻撃者は賢いですが、鉄壁の守りを固めたユーザーを狙うほど暇ではありません。
【最重要】パスキー(FIDO2)の導入
これが現代における最強の盾です。
従来のパスワードやSMS認証ではなく、「パスキー(Passkeys)」を導入してください。
パスキーは、指紋や顔認証とデバイスを紐付けるFIDO2規格を用いています。
例えば、楽天証券なら指紋・顔認証・PINコード・パターン認証でログイン可能です。
この技術の凄いところは、「正規のサイトでしか認証が成功しない」という仕組みです。
つまり、どれだけ精巧な偽サイトに誘導されても、パスキーなら認証が作動せず、物理的にフィッシングが不可能なのです。
ログイン行動の徹底的な見直し
金融機関へのアクセスは、必ず自分で登録したブックマークから行ってください。
メールやSMSのリンクはもちろん、Google検索結果のトップに出てくる「広告枠(スポンサー)」すら、偽サイトである可能性があります。
また、可能なら投資専用のスマホやブラウザを用意し、普段のネットサーフィンとは切り離しましょう。
証券会社側の設定で「防御壁」を作る
普段頻繁に出金しないなら、出金先変更のロックや、出金限度額を最低限に設定しておきましょう。
また、ログイン通知を常時オンにし、ログインがあったら即メールが来る設定にします。
これがテスタ氏を救った「異変検知」の鍵です。
証券口座乗っ取りが起きたときにすぐ対処したい手順
万が一、見覚えのない「ログイン通知」や「約定通知」が届いたら……。
パニックになっている時間はありません。
最初の数十分が生死を分けます。
①被害拡大を止めるための初動
まず、まだログインできるなら、秒でパスワードを変更してください。
ログインできない場合は、緊急ダイヤルに電話し、「不正アクセスの疑いがあるため、口座を全凍結(売買・出金停止)してくれ」と叫んでください。
テスタ氏はこの判断の速さで助かりました。
よって、証券会社の緊急連絡先は、今すぐスマホのアドレス帳に登録しておきましょう。
②証拠保存と届出
犯人のログイン履歴(IPアドレス)、取引履歴、通知メールなどを全てスクショやPDFで保存します。
次に、最寄りの警察署(サイバー事案に関する相談窓口)に行き、被害届を出して「受理番号」をもらってください。
これが補償交渉の切符になります。
③復旧と事後手続き
証券会社の窓口で補償の手続きを行います。
また、不正取引でぐちゃぐちゃになった損益計算をどう処理するか、税務署や税理士に相談が必要です。
【まとめ 】虎の子の資産を守るために今日できること
証券口座乗っ取り事件により、市場リスクだけでなく、サイバーリスクとも戦わなければならないのが現代の投資家です。
テスタ氏のようなトップ投資家ですら狙われる今、「自分だけは大丈夫」という正常性バイアスは、資産をドブに捨てることと同義です。
大手ネット証券の補償が50%しか出ないという冷酷な現実を直視してください。
最大の防御は、泣き寝入りではなく「予防」です。
今すぐパスキーの設定を確認し、ブックマーク以外からのアクセスを禁じること。
この「デジタル武装」こそが、どんな高配当株よりも確実な、あなたの未来への投資となるでしょう。
『』の口コミ
口コミ一覧