証券口座乗っ取り事件

証券口座乗っ取り事件（しょうけんこうざのっとりじけん）とは、2025年に発覚した、日本の証券会社の顧客の口座が不正アクセスされ、その口座で不正な株式取引が行われた事件である。

証券口座乗っ取り事件
場所	日本
標的	証券会社18社（2025年8月末現在）の証券口座及び投資家
日付	遅くとも2025年1月以降[1]
攻撃手段	不正アクセス
攻撃側人数	不明
被害者	不正アクセス件数　15,424件、不正取引件数　8,733件（2025年8月現在）[1]
損害	不正売却金額　約3,598億円、不正買付金額　約3,172億円（2025年8月現在）[1]
犯人	警察庁サイバー特別捜査部および警視庁にて捜査中[2][3]
防御者	金融庁監督指針、日本証券業協会ガイドラインをそれぞれ改正強化（#政府機関の対応、#証券会社の対応を参照）
補償	証券会社からの被害補償が進められている
被害者の会	一部の被害者が『証券口座のっとり被害者の会』[4]を組成

概要

何者かが実在する証券会社を装ったフィッシングサイト等で窃取したとみられるログインIDやパスワードによる、インターネット上での不正アクセスを行い、不正アクセスした口座を勝手に操作して口座内の株式等を売却し、その売却代金で相場操縦とみられる目的で他の株式を買い付けた不正取引および事件である。不正アクセスと相場操縦を組み合わせた手法は「ハック、パンプ・アンド・ダンプ（Hack, Pump And Dump）」と呼ばれる^[5]。警視庁が不正アクセス禁止法違反および金融商品取引法違反（相場操縦）の疑いで捜査を行っている^[6][7]。

金融庁が各証券会社から受けた報告によると、2025年1月から8月までに、不正アクセス件数15,424件、不正取引件数8,733件、不正取引による売却金額約3,598億円、買付金額約3,172億円といった被害が確認されている^[1]。なお、不正取引の複数の被害者がマスコミの取材に対してフィッシングの被害について否定的な見解を示す証言をしており、SNSではマルウェア感染などの別の可能性を指摘する声が上がり^[8]、コンピュータウイルスによる個人情報の抜き取りが行われたとの見方をする専門家もいる^[9]。マクニカは各種メディアにて、情報窃取に特化したマルウエア「インフォスティーラー (en:Infostealer)」^[10][11]が用いられた可能性を指摘している^{[12][13][14][15]}。

9月27日、日本経済新聞は一般家庭のテレビ受信機が「踏み台」として悪用された疑いがあると報道した^[16]。

犯人像に対する推測

容疑者が逮捕されていないため、犯人像については明らかになっていないが、世界の犯罪組織の関与を指摘する意見が多数存在している。

犯罪ジャーナリストの多田文明は、世界の犯罪グループが、日本の犯罪グループと手を組んでやったのではないかとの見方を示している^[17]、週刊文春は、警察当局は世界も絡んだ組織犯罪との見方を強めていると報じ、中国系の犯罪グループが関与している可能性を指摘した^[18]。

証券会社の偽サイトを分析すると、コンピュータプログラムの一部に運送会社の偽ウェブサイトに使われていたことを示す文字列が確認され、過去の偽サイトを転用していた可能性が指摘されている。プログラムには中国語の表示も確認された^[15]。SNSの分析によると、中国語を話す人物による攻撃が増えていて、東南アジアに潜伏して活動しているとの見方がある^[15]。

犯罪グループが闇サイトで口座情報を買い取るなどしたとの見方があり、マクニカの調査によると、ダークウェブに少なくとも約14万件の日本の証券口座の認証情報が掲載されていたことが確認されたと朝日新聞が報じている^[19]。同じマクニカは2025年8月26日、2025年5月末までに証券会社をかたる不審メールが14万件を超える規模で発信されていたと発表した^[20][21]。

東京都立大学教授の星周一郎はミャンマーで活動していた中国系特殊詐欺犯罪集団で働かされていた外国人が解放され始め、闇バイトのかけ子をしていた日本人が検挙されたタイミングと重なることを指摘し、ミャンマーを拠点とする中国系特殊詐欺犯罪集団による犯行ではないかとの見方を示している^[22]。

これらから、各国に点在する複数の犯罪集団が、国際分業の形で関わっていると考えられる^[23][24]。

2025年5月30日の日本経済新聞は、不正アクセスの発信元は中華人民共和国だった疑いが強いことが、複数の関係者への取材で分かったと報じた^[6]。同日、警視庁は、警察庁サイバー特別捜査部^[2]や証券取引等監視委員会^[3]とも連携し、不正アクセス禁止法違反や金融商品取引法違反（相場操縦）の疑いで捜査を開始した^[7]。

事件発覚の経緯

2025年3月、楽天証券の一部利用者が保有していた株式を勝手に売却され、中国株を買われる不正取引が多発したことがきっかけで発覚した^[8]。3月21日、楽天証券はフィッシング詐欺によると見られる被害が相次いでいると公表^[25]、利用者に向けた注意喚起と中国株11銘柄の買い注文を停止した^[8]。3月25日、楽天証券は買い注文を停止した中国株を582銘柄に拡大した^[26]。

3月26日以降、楽天証券とSBI証券が中国株の買付注文を停止したタイミングで、日本の株価が100円から200円程度の小型株の株価が不自然な乱高下を繰り返すようになったと東洋経済オンラインが報道している^[27]。犯罪グループは大量に買い付けて相場をつり上げ、高値で売りつけたと見られている。また、不自然な値動きをした銘柄は100を超えると見られている^[28]。

不正取引が確認された証券会社

2025年4月30日現在、SMBC日興証券、SBI証券、大和証券、野村證券、松井証券、マネックス証券、三菱UFJ eスマート証券^[29]、三菱UFJモルガン・スタンレー証券、楽天証券の9社^[30]だったが、みずほ証券でも5月13日にも不正なログインによる取引が確認され、不正アクセスが確認された証券会社は10社となった^[31]。5月16日までに、岩井コスモ証券、岡三証券、GMOクリック証券でも不正ログインによる取引が確認されている^[32]。

5月28日までに、IG証券、SBIネオトレード証券、立花証券、内藤証券でも不正取引による被害が確認され、被害が確認された証券会社は17社となった^[33]。翌5月29日、IG証券では被害は発生しておらず^[34]、日本証券業協会は被害総数を16社へ訂正した^[35]。

6月30日、インタラクティブ・ブローカーズ証券^[36]での被害が報じられ、被害総数は17社となった^[37]。8月末時点で1社増え、計18社^[38]。

証券会社の対応

ログイン時多要素認証の必須化

2020年9月にSBI証券で発生した不正送金事件^[39][40]を機に、日本の証券会社各社は、証券口座から預金口座への「出金（送金）」に対しては多要素認証や郵送手続きを求める等の、一定のセキュリティ対策を講じていた^[41]。一方で、証券口座自体へのログインに対する多要素認証導入は利用者の任意であった^[42]。これは、利用者の中には簡便さを重視し複雑な方式を望まない者もおり、証券会社は顧客離れを懸念し^[43]、全利用者への必須化までは踏み切れなかったものとされる^[44][45]。しかし本件事件を受け、2025年4月25日、日本証券業協会は、証券会社58社がログインにおいて多要素認証を順次必須化すると発表した^[46][47]。同年5月29日までに、ログイン時多要素認証必須化を決定した証券会社は76社へ拡大している^[48]。7月7日時点で79社へ増加^[49]。

• 2025年
  • 5月26日、三菱UFJモルガン・スタンレー証券が、ログイン時多要素認証必須化を開始^[50]
  • 5月27日、三菱UFJ eスマート証券が、ログイン時多要素認証必須化を開始^[51]
  • 5月30日、マネックス証券が、ログイン時多要素認証必須化を開始^[52]。合わせて、自身の意思で多要素認証を解除した顧客に対する不正アクセス被害は免責とする約款改定を実施^[53]
  • 5月31日、SBI証券が、ログイン時多要素認証必須化を開始^[54]。合わせて、自身の意思で多要素認証を解除した顧客に対する不正アクセス被害は免責とする約款改定を実施^[55]
  • 5月31日、松井証券が、ログイン時多要素認証必須化を開始^[56]
  • 6月1日、楽天証券が、ログイン時多要素認証必須化を開始^[57]。合わせて、自身の意思で多要素認証を解除した顧客に対する不正アクセス被害は免責とする約款改定を実施^[58]。楽天証券では5月上旬以降、新たな口座乗っ取りや被害は1件も発生していない^[59][60]。
  • 6月上旬、SMBC日興証券が、ログイン時多要素認証必須化を開始（適用開始日は顧客によって異なる）^[61]
  • 7月6日、大和証券が、ログイン時多要素認証必須化を開始^[62][63]。合わせて、自身の意思で多要素認証を解除した顧客に対する不正アクセス被害は免責とする約款改定を実施^[64]
  • 7月7日、みずほ証券が、ログイン時多要素認証必須化を開始^[65][66]

上掲の各社が必須化した多要素認証は、その多くが電子メールやショートメッセージサービス (SMS) を用いたワンタイムパスワード方式である。この方式はリアルタイム型フィッシングでは突破されるとされ^[67][68]、パスキー等の生体認証を用いた多要素認証が望ましい^[69][70][71]。

このような状況下、日本証券業協会は、ログイン時や出金時に生体認証等を必須とするようガイドラインを改訂する^[72]。7月15日、「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正案を公表した^[73][74][75]。

日証協が発表したガイドラインでは、多要素認証の中でもフィッシング詐欺に耐性のある方式を求めている（ログイン・出金・出金先口座の変更では『必須』。取引時は『推奨』）。具体的には、パスキー、公開鍵基盤を用いた実装を求めている^[76]。同日発表の金融庁監督指針と同水準の内容となっている（ #政府機関の対応 を参照）^[77][78]。またフィッシングメール対策として自社のメールシステムへDMARCを導入し、検証失敗時のポリシーは「拒否 (reject) 」とすることを求めている（必須）。また自社が発信する電子メールについてはBIMI (en:Brand Indicators for Message Identification) を用いた公式アイコンの表示を推奨している^[79]。これらガイドラインの内容は、フィッシング対策として有効であると評価されている^[80][81]。

• 2025年
  • 7月18日、楽天証券が本年秋ごろに生体認証（パスキー）を導入予定と発表^[82][83]
  • 7月29日、野村證券が本年秋ごろをめどに生体認証を導入する予定と発表^[84]
  • 7月31日、SBI証券が本年秋ごろに生体認証（パスワードレス認証）を導入予定と発表^[85][86]
  • 8月1日、マネックス証券が本年秋ごろにパスキー認証を導入予定と発表^[87]
  • 8月29日、PayPay証券が本年秋ごろにパスキー認証を導入予定と発表^[88][89]

その他、SaaS型証券サービスプラットフォームでも、スマートプラスが8月6日から^[90][91]、トレードワークスが9月3日から^[92]パスキー認証を提供開始した。Liquid（リキッド）は、大手オンライン証券向けにパスキー認証を提供する^[93]。また個人向け投資一任契約サービスのウェルスナビも9月上旬からのパスキー導入を予告し^[94]、9月3日開始^[95]。同社では、口座の乗っ取りによる不正取引の被害は確認されていない^[96]。

被害補償

証券会社による被害補償動向の概要

一連の不正利用に関し、当初、証券会社各社は下記の各点を理由に顧客への被害補償には消極的であった^[97]。

• 証券会社側システムに過失が無く、正規のID・パスワードを用いたログインは本人からのものであるとみなす旨が規約に明記されている。オンライン取引利用者は、開始時に必ず同規約へ同意している
• そのため仮に被害補償を実施する場合も規約を超えた対応になり、証券会社が加入している損害保険が適用できない（損害保険会社からは、規約外で証券会社が自主判断によって実施したものとみなされる）。補償費用が証券会社側の純粋な持ち出しになってしまい、「経営陣の判断によって会社資産を棄損させた」とも解釈され、株主への説明責任が生じ株主代表訴訟のリスクがある
• 正規の売買と不正取引の区別が困難である。従って被害額・補償額が算定できない
• 証券業界の過去の各種事件^[98][99]の経緯により、証券会社から顧客への損失補填は厳に禁じられている
• 任意とはいえ、証券会社は多要素認証の仕組みを提供していた。それを利用しなかったのは顧客側の判断と自己責任である

当初金融庁は、被害への対応は証券会社の自主性に委ね、2025年3月下旬時点では「被害補償無し」も容認していたとされる^[100]。しかし、被害急拡大の社会情勢を鑑み4月下旬に金融庁の態度が変容し^[100]、5月2日、証券会社各社は被害補償へ応じるよう方針を転換した。日本証券業協会を通して、同日時点で被害が確認された9社を含む大手証券会社10社が被害の状況に応じて補償に応じる方針を発表した^[101][102]。一方、被害補償の具体的方法は、6月中旬に金融庁が証券会社に対し100%の補償を目指すよう求め出したこともあって調整が難航し^[100]、方針決定には6月下旬まで期間を要した^[103]。被害補償方針は証券会社各社が独自に取り決め、統一基準は無い^[104]。後掲のとおり、対面証券会社とネット証券会社（三菱UFJ eスマート証券、GMOクリック証券を除く）では内容が大きく分かれる^[105][106]。

被害者の口座を原状回復する際に不正取引によって購入された株式を証券会社の管理口座に移管させる措置も行われた^{[注釈 1]}。この結果、一時的に証券会社が大株主となる企業が発生する事態となった^{[107][108][109]}。

対面証券会社の対応

• 2025年
  • 6月24日、大和証券^[110]とSMBC日興証券の被害補償方針が報じられた^[111]。過失が無いと認められた顧客に対し、不正売却された株式等を返還し、不正購入した株式は取り除く原状回復措置を基本とする^[112]。7月30日、大和証券グループ本社の第1四半期決算発表の中で、損失補償のための引当金として6億2000万円を計上したと発表した^{[113][114][115]}。
  • 6月26日、野村證券の被害補償方針が報じられた。上掲の2社と同様に原状回復措置を行なう^[116][117]。7月29日、左記内容を同社から公式発表^[118]。同日、第1四半期決算発表の中で、補償費用は66億円であると公表した^[119][120]。
  • 7月1日、三菱UFJモルガン・スタンレー証券の被害補償方針が報じられた。既報の他社と同様に原状回復措置を行なう^[121][122]。
  • 7月17日、みずほ証券が、被害補償方針を発表。7月9日には金銭による全額補償と報じられたが^[123]、既報の対面証券4社と同様に原状回復措置を行なう^[124][125]。対面証券大手5社の被害補償方針は、全て原状回復措置となった^[126][127]。みずほ証券の被害額は数百万円^[128]。

ネット証券会社の対応

• 2025年
  • 7月11日、SBI証券が被害者へ個別補償の通知を開始していると報じられた^[129]。損害額の半額を金銭で補償する方針。その他のネット証券4社（楽天証券、松井証券、マネックス証券、三菱UFJ eスマート証券）も金銭による半額補償を軸に検討していると見られる^[130][77]。
  • 7月25日、SBI証券は原則として被害額の50%を金銭で補償する方針を発表^[131][132]。半額補償に加え、一律1万円の見舞金を渡す^[133]。もともとの保有株が売られた分は損失の算定に入れず、手数料のみを補償する^[134]。7月29日、SBIホールディングスの第1四半期決算発表の中で、約80億円の損失計上を発表した^[135][136]。
  • 7月25日、楽天証券は原則として被害額の50%を金銭で補償する方針を発表^[137]。半額補償に加え、一律1万円の見舞金を渡す^[138]。7月29日、1〜6月期連結決算で10億5800万円の特別損失を計上した^[139][136]。
  • 7月25日、松井証券は原則として被害額の50%を金銭で補償する方針を発表^[140]。7月29日、第1四半期決算にて補償費用として2億7400万円の特別損失を計上した^[134]。
  • 7月25日、三菱UFJ eスマート証券は、原状回復を含む補償を行うと発表^[141][142]。
  • 7月28日、マネックス証券は「一定の金銭補償」を行う方針を発表^[143][144]。
  • 8月5日、GMOクリック証券は原則全額補償すると発表、原状回復措置を行なう^[145]。5月までに被害にあった顧客を補償の対象とし、今後の被害についての補償方針は個別に対応する^[146]。

その他の対応

• 2025年
  • 4月30日、SBI証券は5月30日にバックアップサイトを終了すると予告。その後バックアップサイトの終了を前倒しで5月2日に閉鎖^[147]。
  • 5月8日、SBI証券は自社で扱う全ての中国株の新規買い注文を停止した^[148]。
  • 5月10日、楽天証券は株式取引ツール「マーケットスピード」の旧バージョンからのログインを遮断^[149]。
  • 6月16日、マネックス証券はドコモショップにて、同証券の多要素認証の設定方法・利用方法を対面でサポートするサービス（有償）を開始した^[150][151]。
  • 8月15日、日本証券業協会は、特定の銘柄を売却して利益を得た口座を「加害者口座」と見なし、特定する手法の検討を始めた^[152]。

政府機関の対応

• 2025年
  • 金融担当大臣の加藤勝信は、4月22日の会見で、被害者への補償に関して、証券会社に対し「被害の回復に向けて誠実な対応を取るよう指示した」と発言した^[153][154]。
  • 6月20日、金融庁が、証券会社へセキュリティ強化を義務付け、対策不十分であれば業務改善命令を出せるよう監督指針を改定すると報じられた^[155][156]。
  • 7月15日、金融庁が「金融商品取引業者等向けの総合的な監督指針」の改正案を発表した^[157]。多要素認証の中でもフィッシング詐欺に耐性のある方式を求めている。具体的には証券会社は自社サイトにおいて中間者攻撃やマン・イン・ザ・ブラウザ攻撃に耐えられる対策を講じ、例としてパスキー、公開鍵基盤を用いた実装を求めている^[158][159]。同日発表の日証協ガイドラインと同水準の内容となっている（ #証券会社の対応 を参照）^[160]。
  • 7月28日、金融庁は上掲の監督指針改正とは別に、証券会社の他、銀行・保険・暗号資産交換業者等、幅広い金融サービス事業者へ、不正アクセス対策の強化を要請した^[161][162]。

顧客からの訴訟

2025年7月4日、私立大学講師の男性 (60) が、SBI証券に対し原状回復を求める訴訟を起こした^[163]。同氏は4月22日に同証券で不正アクセスに遭い、数千万円の被害を受けたと述べている^[164]。7月16日、同氏が代表となって「証券口座のっとり被害者の会」^[165]が発足した^[166][167]。顧問弁護士は河合弘之。証券会社との団体交渉や集団訴訟を計画している^{[168][169][170]}。9月3日、東京地方裁判所にて第1回口頭弁論開始。SBI証券は請求の棄却を求め、争う姿勢を示した^[171][172]。

著名人の被害

5月1日、個人投資家のテスタが自身の楽天証券の口座が口座乗っ取りの被害にあったことをX（旧 Twitter）に投稿した^[173]。その関連報道により個人投資家の防犯意識の向上や、証券会社のセキュリティ対策見直しの機運が強まった^[174]。

日本国外での類似事例

香港やマレーシアでも同様の手口と見られる不正アクセスと相場操縦事件が起きており、香港では2024年10月から11月にかけてハッキングされた証券口座を通して大量の買い付けが行われたことが確認されている^[175]。

二次的なフィッシング行為

不正取引の被害者や、不正アクセス対策をしようとする人を標的とした二次的なフィッシング行為も確認されている。不正アクセス対策として口座ロックをしようとする人を標的とした、真偽不明の電話番号を紹介するSNSの情報や、証券会社からのフィッシング詐欺の注意喚起メールを装った、フィッシング詐欺のメールが確認されている^[176]。

また、日本証券業協会が被害者への補償に応じる方針を発表した翌日に、補償手続きの案内を装ったメールが送られた事例が確認されている^[177][17]。