本ページはこんな方におすすめ
- ネット証券の口座をお持ちの方
- 最近、自分の金融口座に変な動きがあった人
- フリーWi-Fiによく繋げる人
- 出張が多い人
- スパムメールがよく来る人
2025年3月と4月でインターネット取引サービスへの不正アクセス・不正取引による被害が急増しています。特に金融系アカウントの不正利用が増えています。
嫌に感じるのが、アカウントを乗っ取ってお金を盗むのではなく、不正利用して他者の利益になるような操作がされる点です。
ドロボーなら金を盗んで自分で使う、自分の会社で使う、仲間内で使うなど足がつくことが多いのですが、今回はちょっと違う感じです。
何が嫌かといえば、個人や小規模ハッカーグループの犯罪というより、背後に組織的なものを感じるからです。
| 発生時期 | 2025年2月 | 2025年3月 | 2025年4月 (16日現在) |
3か月合計 | ||
|---|---|---|---|---|---|---|
| 不正取引が発生した証券会社数(社) | 2 | 4 | 6 | ー | ||
| 不正アクセス件数 | 43 | 1,422 | 1,847 | 3,312 | ||
| 不正取引件数 | 33 | 685 | 736 | 1,454 | ||
| 売却金額 | 約1億円 | 約131億円 | 約374億円 | 約506億円 | ||
| 買付金額 | 約0.3億円 | 約128億円 | 約320億円 | 約448億円 | ||
(令和7年4月18日更新 金融庁公式ページ)
奪われた証券アカウントで何がされたか?
奪われた証券アカウントで、実際にどういうことがされたかが興味深いです。
面白いのが出金されて口座がゼロにされたみたいな、映画みたいなことが起きていません。
まず、悪者はハクったネット証券アカウントが所持している株式、投資信託をすべで売却します。売却して証券アカウントに売買余力をつけます。
次に、中国株や中国企業関連株を爆買いします。つまり、ハクったアカウントの資産はすべて中国株(関連株)に化けるわけです。
一見愉快犯のように見えます。ハクった証券口座の株が中国株だらけになっているわけですから。
でも証券会社で売買されている株なら、成り行きでその株を売却すれば、いくらかは戻ってきますよね。
でも、これが仕手筋だとみると話は変わってきます。書き切れ同然の中国系株式の値段を吊り上げるためにも証券アカウントを乗っ取り、顧客の資金で紙クズを買ったどみれば、背後に得体のしれないものを感じますね。
金融庁のウェブサイトでも「不正取引件数」と書かれているだけで、お金が盗まれたとみるより、顧客の金で紙クズを強制的に買う操作がされたという意味にみえますね。
そもそも、ネット証券で証券を現金化する際は、他人名義の銀行口座に振り込めないなどの相当な制約があります。
現金化すためには、もう一犯罪する必要があるほど手間です。
疑われる不正アクセス技術
本ページはこんな方におすすめ
- ニセ基地局に自分のスマホを繋いでしまう
- SIMスワップ
- セッションを盗む(セッションハイジャック)
- パスワード変更を促す
- フィッシング詐欺
フィッシング詐欺は、ここ15年で有名になっていますので、素人でも騙されない気がします。
メールに届いたリンクをクリックしたら、偽の三菱UFJ銀行サイトに繋がり、ネットバンキングのIDとパスワードを入力したようなケースです。
このタイプの詐欺には対策が進んでおり、多くはスマホに届くSMSコードを入力するなどの二段階認証が必要になります。
その際に接続元も確認するケースが多いので、悪者からすればセキュリティに無頓着な方のアカウントでも面倒で、下手したら足跡を残すことになるので、現在ではレアケースだと思います。
セッションハイジャックはかつてのNetscape Navigator(現Firefox)が一世風靡していた頃からの少しカッコイイ感じのハックですが、セッションがURLにモロ出しのケースはともかく、最近のものはクッキーどころかその他の通信との組み合わせで作りますので、面倒に思います。でも不可能ではなく、比較的簡単な部類だと思います。
「このパスワードは3か月間変更されていません」みたいなメッセージを出して、サイトにアクセスしたときにパスワードの変更を促されることがありますが、これも悪用されることがあります。
変更パスワードを盗むのが目的でユーザーに変更を促す詐欺サイトがあります。今は指紋認証や顔認証とセットでサイト認証するケースもあるので、パスワードの変更をくどく促してくるサイトは、エキスパートを欠いたサイトか、セキュリティに無頓着なサイトである可能性もあります。ユーザーレベルで気をつけましょう。
SIMスワップはモロに犯罪だと思いますが、コレやられると手の施しようがありませんね。そうなるまでに、悪者に個人情報を以下に奪われないかということに気を使うべきです。 SIM スワップという言葉をご存知でしょうか?国内でも流行り始めたようです。 本ページはこんな方におすすめ ネットのセキ ... 続きを見る
SIM スワップが流行っているらしいので要注意!
ニセ基地局に自分のスマホを繋いでしまうケースですが、最近ニセの基地局が増えているそうです。多分電波法違反で捕まえられる連中だと思いますが、現在推定される犯人像が外国人ということになっていますので、どうなるんでしょうかね。外国人労働者と称して、楽天モバイルなどの基地局設置に携わった連中がハッカーに転身したというとなんでしょうか。
ニセ基地局というのは、何千億円もかけた基地局ではなくて改造アマチュア無線機で送信しているレベルです。具体的にはセルサイトシミュレーター(IMSIキャッチャー)を改造して偽基地局にします。
ニセ基地局から発する強度の偽電波にスマホが優先的に接続しに行くと、暗号化通信されないGSM接続を強要され、ハッキングされるという手口です。
GSM(2G)というの海外でかつて普通に使われていた古い方式で、まだLINEすらなかった頃のものです。古すぎて、しかも遅いので、今のスマホがそんなものに繋げにいくことは普通は無いのですが、災害時などは何にでも繋げてくれないと救助できませんので残されています。
ハッカーが今回使っている方法は、もう少し巧妙です。まず、偽の基地局から「最新のLTE・5Gネットワークに対応している、正規の携帯基地局だよ」という偽情報をばらまきます。
ユーザーのスマホは、強い電波に優先的に反応しますので、正規の基地局らしき情報を発していれば優先的に接続しに行きます。
カモのスマホが接続しに来たら「ゴメンネ、いまLEE接続満タンなのよ。空席になるまでGSMで繋いでてよ」と接続をダウングレードさせます。
技術に詳しい人は、「GSMみたいなイモ通信、日本のスマホで繋がるの?韓国ですら採用されなかったダサ規格でしょ?」と思う人が多いと思います。でも世界販売されているiPhoneや中華スマホ、韓国スマホは普通にその電波拾えます。確認していませんが、今でもPanasonicやCASIOのガラゲー持っている人なら、多分繋がりません(あらゆる意味で)。ソニーのXperiaみたいな国内販売優先のスマホでもGSMはサポートしています。
高度なことやってそうですが、実際はスマホを開発する際のテスト用の基地局として模擬できるシミュレーターを使います。アタマ使いませんので、だからIQが低い人を闇バイトに引き込んで作業させることが可能です。SMSも自動で送れるのでテンプレートだけ仕込んでおけば大丈夫です。SIMスワップなどに繋げるために、個人情報を抜くのが目的なので、要はSMSを大量に送り付けてスマホがどう反応するかが見たいわけです。
なお、偽基地局からといってもそれなりに強い電波で誘わなくてはならないため、常識的には電波を増強します。増強を成功させるためには電源を強化する必要がありますので、大きなバッテリーなどが必要です。増強レベル次第ですが、その時点で法律違反です。賃貸アパートなどでやるとすぐにばれますので、おそらく巨大になると思われるバッテリーとDC/ACインバーターなどをSUVなどに積み込んで、盗聴器発見業者のように車で移動しているはずです。やってることがダサいので、おそらく漢字を使う圏内の外国人グループの犯罪だと考えられます(捜査関係者らしき人)。
SMSをニセ基地局から送り付ける機器は通称SMSブラスターと呼ばれるもので、ネットでも買えます。もともとは携帯電話やスマホを開発するときに使うシミュレーターの一環として使うもので、悪用する者が悪いのであって機器に罪はないと思います。SMSブラスターを使って送るメールはカモに必ず到達し、しかも優先度も高く扱われます。この手の詐欺は数打てば当たるタイプのものですので、詐欺師としてはひたすらSMSを送り続けなければ元が取れません。そういう意味においては、詐欺師にとってはSMSブラスターはコスパが高いものだと言えます。あと、通信抑止装置も使用するには
上の不正アクセス対策で、個人でもできる簡単な対策を紹介します。
商用VPNをつかう
当サイトでよく奨める
NordVPN
か
Millen VPN
を常時利用してください。よくわからない方(でも当サイトを信用してくれる人)は
NordVPN
を使って、VPNをオンにしてください。当サイトの管理人としては、上の二つのVPNの利用歴が累計で5年を超えている(しかも毎日使う)ので、肌感覚で安心できると思います。
これだけで、当サイトが疑っている(自宅以外のフリー)Wi-Fiからの情報流出は防げます。海外に出張しようが国内会議でWi-Fiに繋げていようが、まずは安心です。
2025年4月現在では、
NordVPN
の方を奨励しておきます。理由は昨年、後半期のアクセスが他社より快適であったことと新プロトコルでより使いやすくなったと感じたからです。実用上は当サイト定番の
Millen VPN
でも何の問題もありません。
アプリの連携を見直す
ネット銀行は他社アプリと連携して顧客データを共有するようなことをやります。
便利なので使っている人も多いと思いますが、技術的に寒いことやってるケースが普通にありますので、毎日確認できるようなアプリ以外は連携しないようにしてください。
LINEと連携とかまれにやりたい人がいますが、当サイト的には自殺行為だと思います。
クレジットカードでなくてデビッドカードに変える
少額の支払いの場合、私は電子マネーやデビッドカードで済ませています。
これらは悪用されたとしても被害額を抑えられることと、流出する個人情報が少ないのが理由です。
SIM スワップという言葉をご存知でしょうか?国内でも流行り始めたようです。 本ページはこんな方におすすめ ネットのセキ ... 続きを見る 当サイトが と併用してお世話になっている についての2025年(4月)の最新の検証です。 本ページはこんな方におすすめ ... 続きを見る 本ページはこんな方におすすめ VPNが使えない国でも使いたい VPNの2つの通信プロトコルを試したい() ゴールデンウィ ... 続きを見る 本ページはこんな方におすすめ お手軽価格の VPN を探している SurfShark(サーフシャーク)ってどんな感じ? ... 続きを見る
SIM スワップが流行っているらしいので要注意!
【詳解・絵解き】NordVPN を契約し使い始めるまで(初心者必見)
VPNの難読化技術使ってアクセスと安全確保
NordVPN と Surfshark、どちらの VPN がいい?
