この記事は、10分で読めます。
こんばんは。管理人のuncleゆーさん(@UncleYusan)です。
今回は、私がやっている証券口座のセキュリティ対策を9個ご紹介します。
SBI証券や楽天証券などでは、5月中に設定が必須のものもあり、これをやらないと6月以降ログインできなくなる可能性もあります。
詐欺グループの手口
証券会社大手10社全てにおいて、乗っ取り被害が確認されています。このことから、現時点では証券会社の情報漏洩が原因の可能性は低く、顧客側を狙った詐欺の可能性が高いと言われています。
今回、詐欺グループはどのような手口で犯行を行っているか確認しておきます。
そもそも証券口座からは、基本的に自分の名義以外の口座には、出金できない仕組みになっています。したがって、犯人が直接自分たちの口座にお金を移すことは非常に難しいわけです。
そこで、彼らが考えたのは、ログインID、ログインパスワード、取引パスワードの3つを盗み、他人の口座で売買をすることで株価操作をするというものです。
具体的にはまず、犯人は流動性の低いボロ株を事前に購入しておきます。その後、乗取った複数の証券口座をにある投資信託や個別株などの資産を売却し、その現金で犯人が持っているものと同じ銘柄を一斉に大量購入します。
するとあまり取引がされていないボロ株はその株価が一機に上昇するので、そのタイミングで事前に購入しておいた株を高値で売り抜けて利益を得るという仕組みです。
その結果、あとから被害に気付いた被害者たちは、すでに価格が暴落し、しかも流動性が低い商品のため、売ることもできず、結果的に大損をしてしまったのです。
他人の口座にアクセスするためには、ログインID とパスワードが必要になるわけですが、それが何らかの形で盗まれてしまうことで、このような乗っ取り被害が起きます。
盗み取る手口としては、以下の3つがあります。
フィッシング詐欺
フィッシング詐欺は、犯人が証券口座を装った偽の電子メールを送りつけて、そこに貼り付けたリンクをクリックさせて偽のホームページに誘導し、ユーザーがログインするために ID とパスワードを入力することで、その情報を盗み取る手口です。
さすがにそんな偽サイトすぐ分かるでしょと思う方もいるかもしれないですが、最近の偽サイトは非常に巧妙でほぼ見分けがつかないものが多いようです。
したがって、送られてきた電子メールからのリンクは絶対にクリックしないことがフィッシング詐欺の重要な対策となります。
また、2 段階認証といってログインする時に ID とパスワードだけでなく、登録したSMSや電子メールから送られてくるワンタイムパスワードなどを入力しないとログインできないような設定にすることも有効な対策です。
この設定はSBI証券や楽天証券は6月中にその設定を必須化するので、5月中に 2 段階認証を設定しておかないと証券口座にログインできなくなる可能性があります。
詳しいやり方については、各社のHPにアクセスして、解説ページを見て、今のうちにやっておきます。
マルウェア感染
「マルウェア」は簡単に言うと、コンピューターウイルスのことで悪意のあるという意味のマリシャスとソフトウェアを組み合わせた造語です。
マルウェアの中にInfoStealerと呼ばれるものがあり、これは様々な手法でブラウザ保存の個人情報を盗み取ってしまうんです。
例えば、パソコンにキーボードで何を入力したかを全て記録し、それを盗むようなマルウェアもあるので、これに感染した状態で証券口座にログインして株の売買を行うと ID やログインパスワード、取引パスワードが全て盗まれてしまうことになります。
他にも Chrome などのブラウザにパスワードを保存している人も多いと思いますが、その保存されたパスワードを丸ごと盗むものや画面をキャプチャして 2 段階認証のコードまで盗むものなどがあります。
これらのマルウェアにはどのように感染するのかと言うと、多くの場合は怪しいメールの添付ファイルや違法サイトのソフトウェアなどをダウンロードしてしまうことで、パソコンが感染すると言われています。
さらには、Google Chrome の拡張機能をダウンロードすることでも感染する事例があるみたいです。
例えば、PDF を見る時に。Acrobat Readerを見ている人もいると思うんですが、これを装ったマルウェアも存在し、この偽Acrobat Readerから感染してしまうわけです。
とにかく怪しい電子メールや素性の分からないChoromeの拡張機能などはダウンロードしないということが重要です。
セッションジャック
セッションジャックは、犯人があなたになりすましてしまうという手口です。
証券口座にログインするとセッション ID という「あなたはログインしています」という証明書のようなものが発行されるんですが、このセッション ID が盗まれてしまうとログイン ID やパスワードを入れることなくログインできてしまうんです。
これはどんな時に盗まれやすいかと言うと、ホテルやカフェなどの公衆WIFIなどの暗号化されていない通信を行っている時が多いといわれています。
具体的な対策
複雑なパスワードに設定
次の表はパスワードがハッカーなどに解読されるまでの時間を表したものでは、パスワードの文字数横は数字や記号などの組み合わせ方になっています。
例えば、数字だけの場合、文字数が 10 文字以内であれば一瞬で解読されてしまいますし、数字やアルファベットの大文字、小文字を組み合わせていても、8 文字のパスワードであれば 1 時間もすれば解読できてしまうんです。
したがって、パスワードは最低13文字以上で数字やアルファベットの大文字、小文字記号を組み合わせた複雑なパスワードにしましょう。
これにより200万年以上という事実上解読不能なレベルにすることができます。
あと、パスワードの使い回しもNG です。万が一、何かのログインパスワードが流出してしまうと、そこから芋ずる式に他のサイトにもログインされてしまい、被害が拡大してしまう恐れがあるからです。
そうなると複雑なパスワードをいくつも覚えるのは大変なので、スマホのメモなどで管理したくなるかもしれないですが、それはセキュリティ上おススメできません。
1番簡単なのは紙に書いて金庫などに保管しておくことです。めんどくさいかもしれませんが、こういう時代になったわけですので、大切な資産を守るためにできることはやっておきましょう。
それにここまでやったのに被害にあったということができれば、証券口座が保証してくれる可能性も上がると思います。
パスワード管理が面倒くさいという方は、専用のパスワード管理アプリを使うのも有効です。
もし無料のものを探しているのなら、公式サイトのURLが登録できるAppleのPasswordsなどがいいかもしれません。
パスワード管理アプリの多要素認証などのセキュリティ設定もお忘れなく!
なお、ひょっとしたらすでに自分のパスワードは流失しているかもしれません。この機会に変更しておくことをおススメします。
メールからのリンクは絶対にクリックしない
さっき説明したフィッシング詐欺の対策ですね。例え、証券会社からの本物の電子メールだと思ったとしても、電子メールのリンクから飛ばずに、Google 検索などで検索して証券会社の公式HPにアクセスするようにしましょう。
証券口座の URL をブラウザのブックマークに保存しておいて、常にそこから飛ぶようにしておくことがおすすめです。
Gmail を使う
意外と知られていないんですが、Gmail を使うのもセキュリティのアップに効果的です。Gmail の迷惑メールフィルターは、とても優秀にできています。
迷惑メールをかなりブロックしてくれる機能があるので、そもそもフィッシングメールが届くことを減らしてくれるとというメリットがあります。
また、Gmailは、サブメールアドレスをつくることができます。現在のメールアドレスがABC@gmail.comだとすると、ABC+sec@gmail.comというサブメールアドレスをつくって証券口座専用のメールアドレスにすれば、ほかでは使わないので漏洩のリスクを低くすることができます。
アカウントは無料でつくれ、登録も簡単なので、今使っていない方は是非検討してみてください。
公衆WIFIは使わない
暗号化されていない公衆WIFIでは、セッションID を盗まれてしまう可能性があるので、公衆WIFIで証券口座を開くようなことは絶対にやめましょう。
どうしてもフリーWIFIを利用するときは、VPNを使用しましょう。
素性のわからないアプリや拡張機能などをDLしない
素性のわからないアプリ・ファイルや拡張機能などをダウンロードしてしまうと、ID やパスワードなどの情報を盗むマルウェアにパソコンが感染してしまう可能性がありますので、注意が必要です。
Windowsのセキュリティの設定をあげる
Windows のセキュリティって初期設定では、PCの性能に配慮して、弱めに設定されていることが多いみたいです。
パソコンには、「カーネル」という動作するために命令を出す司令部あります。ここをいかに攻撃されないかが重要なんですけど、そこを守る設定がデフォルトで「オフ」になっていることがあります。
ここが「オン」になっていなければ、「オン」にしておきましょう。
設定方法は、Windows のスタートボタンを押して「設定」をクリックします。そして、「プライバシーとセキュリティ」をクリックし「Windows セキュリティ」を開きます。
「デバイスセキュリティ」を選ぶと「コア分離」というのがが出てきますが、これがパソコンの司令塔であるカーネルを保護するための設定となります。
「コア分離」の詳細を開いたところのボタンを、全て「オン」にしておくことでセキュリティが向上します。
もし設定をして、他のソフトがうまく開かないなどの不具合が生じた場合は元の設定に戻すようにしてください。
2段階認証の設定
2 段階認証をやっていっても突破されるような事例もありますが、2 段階認証は不正ログインを防ぐにはとっても有効な対策なので必ず設定しておきましょう。
取引に制限(ロック)をかける
実証券会社のカスタマーセンターに連絡すれば、証券口座での全てまたは一部の取引ができないように制限をかけることができます。
今回問題となった、自分の株や投資信託を勝手に売却されたことを完全に防ぐには、売却ができないように取引制限をかけておけば防ぐことができます。
ただし、制限のかけ方は、証券会社ごとに異なります。例えば、楽天の場合は、特定の国の株取引を停止することができますが、SBI証券の場合は、国内株式と外国株式の 2 つの括りでしか取引停止できないようです。
ただし、SBI 証券は 5月6 日に中国株の全銘柄の買い付け停止対応を行ったので、問題になっている中国株だけ取引を停止したいという場合は特に対応は不要です。
カスタマーセンターへは、「チャット」か「電話」で連絡します。。電話はなかなか繋がらなかったりするので、チャットがおススメです。
なお、SBI証券では、全ロックだけWEBで行う行うことができます。
ログイン時に通知が来るように設定
著名投資家のテスタさんが、証券口座を乗っ取られた際、ログインした覚えがないのに、ログイン通知が来たことで、早めに気づけたという話がありました。ですので、、これは必ず設定しておいてください。
もし身に覚えのないログインの通知が来たら、すぐに証券会社のカスタマーセンターに連絡して、口座の停止措置を依頼しましょう。
まとめ
今回の記事は、いかがでしたでしょうか。
今回は、私がやっている証券口座のセキュリティ対策を9つ紹介しました。
利便性やコストを考えると、そこまでやるのかと思うこともありますが、こういう時代万一資産を失うことを考えれば、ここに書いたことは今後も実践していくつもりです。
今回の記事がお役に立たのなら、うれしいです。
最後まで読んでいただきありがとうございました。
今回の記事が良ければ、ブックマークとスターをお願いします!
また、SNSでシェアして頂けると、モチベーションが上がります!
今後も役に立つ、記事を配信していきます。
Amazon Music Unlimited(音楽聴き放題)が30日間無料(通常月額1,080円)!
Amazon Music Unlimited公式サイト
Audible(聴く読書12万冊聴き放題)が30日間無料(通常月額1,500円)!
Audible公式サイト
Kindle Unlimited(電子書籍読み放題)が30日間無料(通常月額980円)!
Kindle Unlimited公式サイト
