【要対策】楽天証券とSBI証券の「セキュリティ設定」…不正アクセスによる“口座乗っ取り”から資産を守る方法は？

手口の詳細は不明ですが、犯罪集団は事前に株価の安い中国株や日本株を自己資金で大量に購入します。そして、不正に入手したログイン情報で口座を乗っ取り、口座の持ち主が保有していた銘柄を売却。売却した資金で自分たちが仕込んでいた銘柄を購入し株価を吊り上げ、高くなったところで保有株を売り抜けて利益を得たとされています。

乗っ取り被害にあった投資家は、勝手に高値近辺で購入されて買い手不在になった中国株を売却するしかなく、数百万円や数千万円の損失を被った人もいます。

証券口座内の資金を出金して直接盗むのではなく、仕手のように株価を急騰させて売り抜け、間接的に利益を得たとされている点が特徴です。

情報を盗み出す手口として考えられているのは、主に次の2つです。

フィッシング詐欺
インフォスティーラー（情報を盗み出すコンピューターウイルス）

対策とともにそれぞれ解説します。

手口①：フィッシング詐欺

（※写真はイメージです／PIXTA）

フィッシング詐欺は、正規の金融機関や証券会社になりすまし、偽のメールやウェブサイトを使って個人情報を騙し取る方法です。

犯人はあたかも公式であるかのようなメールを送り、「アカウント確認が必要」「不審なログインがあった」などと緊急性を煽り、偽サイトへ誘導。IDやパスワード、暗証番号などの個人情報を入力させて盗み取ります。そして、不正に入手した情報を使って本人になりすまして証券口座にアクセスし、不正に売買します。

このフィッシング詐欺には、証券会社に限らず、メールやSMS（ショートメッセージ）に表示されたリンクは開かないように普段から注意することが大切です。

送信元のメールアドレスがその会社と無関係の場合は、なおさら警戒が必要です。

証券会社にログインする場合は、ブックマークしたURLや公式アプリ、あるいは検索エンジン経由で正規のサイトからアクセスするようにしましょう。

手口②：インフォスティーラー

（※写真はイメージです／PIXTA）

インフォスティーラーはIDやパスワードなどの個人情報を盗むことに特化したマルウェア（悪意のあるプログラム）のことで、わかりやすい言葉で言い換えると、情報窃取型のコンピューターウイルスです。

メールの添付ファイルやウェブ広告、不正なアプリなどに仕込まれているとされており、不用意に開くとデバイスがウイルスに感染し、個人情報が盗み取られるリスクがあります。

このインフォスティーラーへの対策としては、出所不明のメールに添付されたファイルを開かない、怪しいアプリをインストールしない、OSやブラウザを最新の状態にアップデートしておく、セキュリティソフトを導入する、パスワード管理ソフトでパスワードを管理するといった方法が有効です。

1. 楽天証券の代表的な「セキュリティ設定」5つ

（引用：楽天証券）

楽天証券は2025年3月22日に情報抜き取り被害の報告をし、注意喚起を行いました。そして、3月25日にはセキュリティ強化策を発表し、対策を促しています。

楽天証券が推奨している代表的なセキュリティ設定は、次の5つです。

■楽天証券で行うべきセキュリティ設定5つ

｢ログイン追加認証（多要素認証）｣
ログインパスワードと取引暗証番号の変更
出金時のSMS認証
｢楽天証券あんしんログイン｣
約定通知メールの受信設定

ポイントと設定方法をそれぞれ解説します。

設定①：「ログイン追加認証（多要素認証）」

（楽天証券公式YouTube『ログイン追加認証の設定方法～PCウェブ編～【楽天証券】』)

楽天証券のログイン追加認証は、通常のログインIDとパスワードに加えて、登録メールアドレスに送られる毎回異なる2枚の画像を、認証コードの選択画面に表示される画像（10枚表示）から選んで追加認証を行う方法です。

万が一、ログインIDやパスワードが漏洩しても認証コードのイラスト画像は登録メールアドレスに送られてくるため、不正アクセスした人はログインできません（1回でも間違えるとその認証コードは無効になります）。

ログイン追加認証の設定は、楽天証券のウェブサイトにログイン後、「マイメニュー」＞「セキュリティ設定」＞「ログイン追加認証」の「設定変更へ」から行います。

ログイン追加認証の利用設定をするときにも登録メールアドレスに認証コードの画像が送られてくるので、操作方法の確認にもなるはずです。

ログイン時にはひと手間かかるようになりますが、複数の手段を使って本人確認を行う「多要素認証」は不正アクセス防止の基本となる対策です。必ず設定しておきましょう。

なお、認証コードの画像選択を1回でも間違えると、その認証コードは失効します（楽天証券のカスタマーセンターにて確認済み）。

間違えた場合は「認証コードを再送信する」から再発行できますが、3回連続で間違えて認証に失敗すると口座がロックされる仕様に変更されたので、メールに送られてきた画像をよく確認して選択してください。

■補足

楽天証券のログイン追加認証は現在は「推奨」ですが、6月1日からは必須化されます。つまり、設定しないとログインできなくなります。必須化されるタイミングを待たず、早めに設定しておきましょう。

設定②：ログインパスワードと取引暗証番号の変更

（楽天証券公式YouTube『ログインパスワードの再設定方法～PCウェブ編～【楽天証券】』)

ログインパスワードと取引暗証番号を口座開設時から変更していない人は、複雑なものに変更しておきましょう。もし直近であなたの口座情報が盗まれていても、変えることで不正利用を防げる可能性が高まります。

ログインパスワードと取引暗証番号の変更は、楽天証券のウェブサイトにログイン後、「マイメニュー」＞お客様情報の設定・変更の「基本情報（マイナンバー・ログイン関連）」＞ログインID・パスワード・取引暗証番号の「変更」から行います。

ログインパスワードは8桁以上16桁以内ですが、なるべく長くて複雑なものにしてください。取引暗証番号は4桁なので、記号も入れて推測されにくいものにしましょう。

なお、楽天証券のログインIDは変更できません。

設定③：出金時のSMS認証

出金時のSMS認証の利用設定をし、出金指示をする際に登録している携帯電話番号にSMS（ショートメッセージ）で送信される認証コードを入力しないと出金できないようにしておくと、第三者による不正な出金を防げます。

出金時のSMS認証の設定は、楽天証券のウェブサイトにログイン後、「マイメニュー」＞お客様情報の設定・変更の「セキュリティ設定」＞「出金」の「設定変更へ」から行います。

設定④：「楽天証券あんしんログイン」

（引用：楽天証券）

楽天証券あんしんログインは、PCツール『マーケットスピードⅡ』を利用するときに通常のIDやパスワードを使わず、スマホアプリ『iSPEED』から生体認証（指紋認証や顔認証）で本人確認をしてログインする方法です。

指紋や顔は個人によって異なるので、なりすましによる不正ログインを高確率で防げます。

楽天証券あんしんログインの設定は、『マーケットスピードⅡ』の右上のメニューの「ログイン設定」から行います。

（引用：楽天証券）

設定⑤：約定通知メールの受信

約定通知メールは、注文が成立したときにメールで通知してくれるサービスです。不正な取引が発生してからでは遅いかもしれませんが、被害を最小限にするために受信しておきましょう。

約定通知メールの受信設定は、楽天証券のウェブサイトにログイン後、「マイメニュー」＞お客様情報の設定・変更の「メールサービス」＞約定通知メールの「登録・変更する」から行います。

なお、ログイン通知メールの設定もしておくと、サイトにログインするたびにメールで通知してくれるので、不審なアクセスに早期に気づくことができます。

【番外編】「リスクベース認証」

（引用：楽天証券）

リスクベース認証は、普段と異なる環境からアクセスするなど、本人以外からのアクセスの可能性が高いと楽天証券が判断した場合に追加の認証を求める仕組みで、第三者による不正ログインを防ぐことができます。

■楽天証券の追加認証画面（引用：楽天証券）

このリスクベース認証は、楽天証券が2025年3月23日より導入。

発動する基準は公表されていませんが、たとえば、普段は自宅のPCから楽天証券にログインしている人が実家のPCからログインしようとしたり、スマホの機種変更をして新しい端末からログインしたりするときなどが考えられます。

リスクベース認証は、ユーザー側の設定は不要です。

ただし、追加認証が求められる場合は登録している電話番号にメッセージが届くので、電話番号が変わった場合などは速やかに変更手続きをしておきましょう。

>>楽天証券のセキュリティに関するページを見る<<

＼国内（証券単体）最多の1,200万口座（2025年1月時点）／

■楽天証券で不正アクセスの被害に遭い、証券口座の利用を一時停止するための問い合わせ

・0120-852-638（通話料無料）

※ 24時間自動受付

2. SBI証券の代表的な「セキュリティ設定」5つ

（引用：SBI証券）

SBI証券でもフィッシング詐欺等による不正アクセスの被害が報告されており、注意喚起を行っています。実際、筆者のところにも次のような件名のSBI証券になりすましたメールが届き、すべてのセキュリティ設定を見直しました。

【ポイント失効間近】お客様のSBIポイントが間もなく失効いたします
【S B I証券】安全基準強化に伴う緊急の設定確認をお願いいたします
「最終確認」ご利用端末の登録状況をご確認ください
【必須対応】資産補償手続きのご案内（SBI証券）

最近はセキュリティ設定を促すことを装った件名でメールが送られてくるので、注意しましょう。

SBI証券が推奨している代表的なセキュリティ設定は、次の5つです。

■SBI証券で行うべきセキュリティ設定5つ

｢デバイス認証｣
｢FIDO認証（スマホ認証）｣
ユーザーネームとパスワードの変更
出金時の二要素認証サービス
ログイン通知メールの受信

ポイントと設定方法をそれぞれ解説します。

設定①：「デバイス認証」

（SBI証券公式YouTubeチャンネル『デバイス認証の設定方法』）

SBI証券のデバイス認証は、ウェブサイトにログインする端末を事前に登録することで、認証されたデバイスからのログインのみを許可する方法です。万が一、ユーザーネームやパスワードが漏洩しても、犯罪集団の端末からはログインできません。

デバイス認証の登録は、SBI証券のウェブサイトにログイン後、「口座管理」＞「お客さま情報設定・変更」＞「各種サービス」＞「デバイス認証サービス」の「お申し込み」から行います。

（引用：SBI証券）

なお、デバイス認証は複数台の端末の登録も可能です。また、同じデバイスでも、異なるブラウザ（Chrome、Safariなど）からログインする場合は、再度認証する必要があります。

設定②：「FIDO（スマホ認証）」

（SBI証券公式YouTubeチャンネル『FIDO（スマホ認証）の登録方法』）

SBI証券のFIDO（スマホ認証）は、アプリを利用するときに、スマートフォンに登録された本人確認情報を利用して多要素認証を行ってログインする方法です。FIDOは「ファイド」と読み、「Fast Identity Online」の略です。

対象は以下のアプリ。

SBI証券株アプリ
SBI証券先物・オプションアプリ
かんたん積立アプリ
SBI証券 FXアプリ
SBI証券米国株アプリ
HYPER SBI2（PCツール）
商品先物専用トレーディングツール（PCツール）

アプリを利用していなくても、入手したログイン情報を使ってアプリ経由であなたの口座に不正アクセスしてくる可能性もあるので、対策をしておきましょう。

なお、本人確認情報は、「生体認証＋パスコード（6桁）」と「パスコードのみ」から選択できます。生体認証（指紋や顔認証）のほうがセキュリティは強いので、少し面倒ですが「生体認証＋パスコード」による認証方法を選ぶことをおすすめします。

FIDO認証の初期設定（認証登録）は、「SBI証券スマートアプリ」をインストール後、スマートアプリの「FIDO（スマホ認証）を設定する」から行います。

なお、アプリからSBI証券のスマホサイトに遷移するときには「デバイス認証」が適用されるように、SBI証券の「デバイス認証」と「FIDO認証」は両方とも利用設定しておくことをおすすめします（2025年5月31日以降は必須化）。

設定③：ユーザーネームとパスワードの変更

ユーザーネーム（ログインID）とログインパスワード、取引パスワードをしばらく変更していない人は、他人に推測されにくい複雑なものに変え、定期的に変更しましょう。他社のログインIDやパスワードの使いまわしはNGです。

ログイン情報の変更は、SBI証券のウェブサイトにログイン後、「口座管理」＞「お客さま情報設定・変更」＞「ご登録情報」の各種項目の「変更」から行います。

設定④：出金時の二要素認証サービス

出金時の二要素認証サービスの利用設定をし、出金指示時に登録メールアドレスに配信される認証コードを入力しないと出金できないようにしておくと、第三者による不正な出金を防ぐことができます。

現在は1日の合計出金額が50万円を超える場合のみ二要素認証の利用設定が必須ですが、2025年5月9日(金)夕刻以降は出金額にかかわらず全部の出金が二要素認証の対象になります。

出金時の二要素認証サービスの設定は、SBI証券のウェブサイトにログイン後、「口座管理」＞「お客さま情報設定・変更」＞「各種サービス」＞「出金時の二要素認証サービス」の「変更」から行います。

設定⑤：ログイン通知メールの受信

ログイン通知メールの受信設定をしておくと、ログインがあった際に登録済のメールアドレスに通知してくれるので、不審なアクセスを早期に発見できます。

ログイン通知メールの受信設定は、SBI証券のウェブサイトにログイン後、「口座管理」 >「お客さま情報設定・変更」 > 「Eメール通知サービス」の順に進み、ログイン通知サービスの項目の「変更」から行います。

（引用：SBI証券）

なお、約定通知メールの受信設定もしておくと、注文が成立したときにメールで通知してくれます。不正な取引が発生してからでは遅いかもしれませんが、被害を最小限にするために受信しておくことをおすすめします。

>>SBI証券のセキュリティに関するページを見る<<

＼SBIグループ全体の口座数が1,400万を突破／

■SBI証券のセキュリティに関するカスタマーサービスセンター（臨時営業）

・0800-170-5333

※ 平日8時～19時

■SBI証券に関する追加情報

2025年5月1日、SBI証券はバックアップサイトの利用を、当初の5月30日ではなく5月2日で終了することを発表（参照：SBI証券『バックアップサイトの終了に関するお知らせ』）。

バックアップサイトは、メインサイトにログインできないなど、不測の事態に陥ったときでも最低限の取引ができるサイトのこと。

発表当初は、5月30日まではバックアップサイトから不正にログインされてしまうのではないか？との見方から、SNSなどでは「セキュリティが甘い」との意見も散見されていました。

また、SBI証券は5月6日より、不正取引の対象とされている「中国株」の新規の買い注文の受け付けを全銘柄で停止する措置をとっています。

3. 普段から実践すべき「セキュリティ対策」10選

（※写真はイメージです／PIXTA）

楽天証券とSBI証券が推奨しているセキュリティ設定を紹介しましたが、ユーザー側の注意も必要です。

証券会社がどんなに強固なセキュリティ対策をしても、証券口座のログイン情報を書いたメモをPCに貼ったままファミレスで席を離れるなどしたら、悪意のある第三者に不正アクセスされかねません。

本章では、ネット証券での取引に限らず、ネット詐欺から身を守るために普段から実践すべきセキュリティ対策を厳選して10個紹介します。

■ネット詐欺から身を守るセキュリティ対策10選

メールやSMSなどに表示されているURLをクリックしない
怪しいアプリを不用意にインストールしない
OSやブラウザを常に最新の状態に更新する
ウイルス対策ソフトを入れる
パスワードの使いまわしをしない
パスワードをブラウザに保存しない
パスワードや暗証番号を定期的により強固なものに変更する
フリーWi-Fiを利用しない
ネットカフェなど誰でも利用できる場所にあるPCに個人情報を入力しない
PCよりセキュリティが高いとされるスマホアプリを極力使う

どれも基本的なことなので、できる限りの対策をして大切な資産を自分で守りましょう。

4. よくある質問

（※写真はイメージです／PIXTA）

最後に、証券口座の乗っ取り被害に関するよくある質問に5つ回答します。

Q1. 証券口座を乗っ取られて損失が出た場合、被害額は補償されますか？

楽天証券とSBI証券は、一連の被害が報じられた当初、正規のIDとパスワードによる取引は基本的に本人の意思とみなすとし、証券会社側の故意や重大な過失がない限りは原則として補償しないと約款に追記しました。

しかし、金融庁や日本証券業協会の働きかけもあり、2025年5月2日に状況が一変。

証券10社（楽天証券、SBI証券、マネックス証券、松井証券、三菱UFJ eスマート証券、野村證券、大和証券、SMBC日興証券、みずほ証券、三菱UFJモルガン・スタンレー証券）は、約款等の定めに関わらず、個別の事情に応じて一定の補償を行う方針を申し合わせました（2025年5月2日、日本証券業協会『今般のインターネット取引サービスにおけるフィッシング詐欺等による証券口座への不正アクセス等による対応について（10社申し合わせ）』）。

ただし、十分な対策をしていなかった場合は補償額が少なくなる可能性があるため、「補償してくれるからセキュリティ設定は不要」と思ってはいけません。また、被害に遭ったら迅速に証券会社に報告・相談することを忘れないようにしてください。

Q2. 偽メールの見分け方を教えてください。

楽天証券の場合、GmailやYahoo!メールで楽天証券からのメールを受信すると、件名に赤色の「R」マークが表示されます。

また、送信元のアドレスの一部に「rakuten」「sbi」などの会社名が入っていても安心せず、内容に違和感があったらメールを削除してください。SBI証券には「SBIポイント」という名称のポイントは存在しませんが、件名に「お客様のSBIポイントが間もなく失効いたします」と書かれた怪しいメールを受け取ったことがあります。

そもそも、金融機関が顧客にログインIDやパスワードなどの個人情報をメールで聞いて入力を求めることはないので、メール内のURLはクリックしないことを徹底しましょう。