昨今、ネット証券や暗号資産取引所の利用者を狙ったフィッシング詐欺が深刻化しています。実際に楽天証券やコインチェックでは、アカウントの乗っ取り被害が相次ぎ、大きな問題となっています。
こうした詐欺では巧妙な手口でログイン情報が盗まれ、不正アクセスによる資産の損失や取引の悪用にまで発展しています。
被害拡大を防ぐため企業側も緊急対策を打ち出していますが、最終的に自分の資産を守る鍵となるのはユーザー一人ひとりの注意と対策と思います。
最近明らかになった楽天証券、コインチェックのフィッシング詐欺・不正ログイン被害の実態を整理し、原因、企業の対応策、ユーザーへの注意喚起内容をまとめてみます。
また、それらを踏まえ、個人が取るべきフィッシング詐欺対策を金融取引(証券会社、暗号資産取引所、銀行アプリ等)に焦点を当てて整理しててみます。
楽天証券のフィッシング詐欺被害の概要
オンライン証券大手の楽天証券では、フィッシング詐欺を契機とした不正ログイン被害が2024年末頃から急増しました。
被害に遭った顧客の証券口座では、本人の知らない間に保有資産(株式や投資信託など)を勝手に売却され、代わりに特定の中国企業株が大量に購入されるという不正取引が発生しています。
例えばある被害者は、SNS上で、NISA枠を含む全保有銘柄を勝手に売却され、「アンバーヒルフィナンシャル」という中国株を一夜で数百万円分も買い付けられ、約300万円の含み損を抱えたと報告しています。
このように被害額が数百万円規模にのぼるケースもあり、被害の深刻さがうかがえます。
楽天証券によると、これらの不正アクセス被害の主な原因はフィッシング詐欺だとみられています。犯人グループは楽天証券を装った偽の電子メールやSMSを送りつけ、本文中のリンクから本物そっくりの偽サイトに誘導します。
そこでログインIDやパスワード、取引暗証番号といった認証情報を入力させて盗み出し、その情報を使ってユーザーになりすまして証券口座に不正ログインしていました。
盗んだ証券口座で前述のような中国株の大量買い付けを行い、株価を吊り上げてから売り抜け利益を得ようとしていた可能性が指摘されています。楽天証券自身は「当社から顧客の情報や資産が流出した事実はない」と内部漏えいを否定しており、外部からのフィッシングによる犯行と判断しています。
被害の広がりを受け、楽天証券は2025年3月21日付けで公式サイト上に注意喚起を掲載し、同社を騙るフィッシング詐欺の多発についてユーザーに警鐘を鳴らしました。
さらに3月23日からはログイン時の本人認証を強化する緊急対応を実施し、ユーザーに対して取引暗証番号の変更やログイン認証の追加設定を呼びかけています。具体策としては、従来オプションだった「ログイン追加認証」(二要素認証)の利用を強く推奨し、未設定ユーザーにも設定を促しました。
また、不正取引に悪用された可能性のある一部の外国株については、約500銘柄を対象に新規の買い注文受け付けを一時停止する措置も講じています。
これは犯人グループが不正購入に利用した特定銘柄の取引を凍結し、被害拡大や市場への影響を防ぐ狙いがあります。楽天証券は被害に関する個別相談に対応するとともに、証券業協会などと連携して再発防止策の検討を進めています。
コインチェックのアカウント乗っ取りとフィッシング詐欺懸念
暗号資産取引所の大手コインチェックでも、最近不正ログインに関する深刻な事件が発生しました。2025年4月28日早朝、コインチェック社の公式X(旧Twitter)アカウント「@coincheckjp」が第三者に乗っ取られ、不正ログインされたことが判明したのです。
このハッキング被害により、犯人は同アカウントからフィッシング詐欺に誘導する投稿を行った可能性があり、コインチェックは利用者への被害拡大を防ぐため緊急措置として同社の全サービスを一時停止する対応をとりました。
公式SNSアカウントが乗っ取られるという異例の事態に、コインチェックは「当社Xアカウントから投稿されているURL等は決してクリックしないようお願い申し上げます」とユーザーに注意喚起し、不審なリンクに触れないよう呼びかけています。
現状、この件では取引所システムそのものへの侵入や顧客資産の流出は報告されていないようですが、公式情報源の乗っ取りによるフィッシング拡散という新たなリスクが浮き彫りになりました。
一方、コインチェック利用者個人を狙ったフィッシング詐欺・不正ログインの手口も依然として懸念されています。コインチェックを装った偽メールや偽SMSは過去から度々確認されており、例えば「『Coincheck』口座は使用停止となりました。◯◯をクリックすると停止は解除されます」といった本文の詐欺SMSが実際に出回っています。
リンク先にアクセスすると本物そっくりのログインページが表示され、IDやパスワードを入力させて盗み取ろうとする手口です。また、フィッシングサイト上で秘密の二段階認証コード(OTP)を入力させるケースや、不正なスマホアプリのインストールを促すケースも報告されており、巧妙化・高度化する傾向があります。暗号資産取引の場合、一度不正送金されると取り戻すのが困難なため、こうした詐欺への警戒は証券以上に重要です。
コインチェック社も公式サイトやSNSを通じて、「最近当社になりすましたフィッシング詐欺が確認されている」としてユーザーに度々注意を促しています。特に「『口座が利用停止になった』等の内容でSMSやメールを送りつけ、偽サイトに誘導する手口」に対する警告を発し、心当たりのない連絡に含まれるURLは絶対にクリックしないよう呼びかけています。
また、コインチェックではログイン時の二段階認証(アプリ認証やSMS認証)を設定できるため、必ず有効化してアカウントを保護するよう推奨しています。これらの対策や注意喚起にもかかわらず被害報告が後を絶たない状況であり、利用者自身がリスクを正しく認識して防衛策を講じることが改めて重要視されています。
フィッシング詐欺の典型手口と最新の傾向
今回明らかになった楽天証券やコインチェックの被害手口から、近年のフィッシング詐欺の特徴が見えてきます。まず典型的なのは、金融機関やサービスを装った巧妙な偽メール・偽SMSです。件名や本文に「重要なお知らせ」「緊急のご連絡」「アカウント利用停止」などといった文言を盛り込み、受信者に不安を煽ってリンクをクリックさせようとします。「ログイン認証情報を確認する」「利用再開するには手続きを完了してください」等のもっともらしい理由を掲げて、公式サイトそっくりのフィッシングサイトに誘導するのが常套手段です。
実際の例として、コインチェックを騙る詐欺メールでは件名に「<重要>アカウントの利用を一時制限し、再開手続きを行いました」といった文言が使われました。
また、上記のようなフィッシングSMSの例では、正規のスペルと一文字だけ異なる偽ドメイン(例:「coincheck」ではなく「coinchek」など)にユーザーを誘導するなど、一見気付きにくい工夫がされています。
フィッシングサイトに誘導されたユーザーがログインIDやパスワードを入力すると、その情報がそのまま犯罪者に送信されてしまいます。さらに最近では、ログイン時に必要な二段階認証コード(ワンタイムパスワード)を入力させるフィッシングも増えています。
例えば「セキュリティ強化のためコードを入力してください」等と偽り、ユーザーのスマホに届いた認証コードをそのまま詐欺サイト上で入力させ、リアルタイムで本物のサービスにログインするケースです。これにより、二段階認証を設定していても突破されてしまう恐れがあります。暗号資産ウォレットなどでは、秘密鍵やリカバリーフレーズを入力させるフィッシングにも注意が必要です。一度でもこれらの機密情報を入力してしまうと、即座に資金を奪われる危険があります。
最新の傾向として、フィッシングの手口はメールやSMSだけでなく、多様なチャネルに広がっています。SNS上で公式アカウントを装った偽のサポートアカウントからダイレクトメッセージを送りつけたり、今回のコインチェックのように公式SNSアカウント自体をハッキングして詐欺リンクを拡散したりするケースも出てきました。
また、電話による詐欺(いわゆる「ボイスフィッシング」や「なりすまし電話」)にも注意が必要です。楽天グループを名乗る不審な電話では「後ほど警察署から電話がある」→「警察官を名乗る者から『あなた名義のカードを持った犯人を逮捕した』と連絡が来る」といった巧妙なシナリオでだまし、個人情報を聞き出そうとする事例も確認されています。
金融庁や銀行協会などの公的機関を騙る電話で暗証番号を尋ねる詐欺も依然あります。このようにフィッシング詐欺師たちはあの手この手でユーザーの警戒心をくぐり抜けようとしており、手口は年々高度化・巧妙化しています。
しかし、一見手の込んだフィッシング詐欺にも共通するサインがあります。
例えば、「送信元メールアドレスのドメインが公式と違う」「日本語の文章に不自然な表現や誤字がある」「本文中のリンク先URLが公式ドメインと微妙に異なる(例:.comが.coに、アルファベットが数字に置き換わる 等)」「やたらと急ぎ立てる内容である」といったもので、このような点に気付けば詐欺を見抜ける可能性が高いです。
実際、楽天グループでは公式メールの送信元ドメイン一覧を公開し、「これ以外のドメインから来たメールはフィッシングの疑いあり」と注意喚起しています。
また、正規の企業はメールや電話でパスワードやワンタイムパスコードを尋ねたりしないという基本も押さえておきましょう。最新のフィッシング詐欺は手口こそ高度になっていますが、ユーザー側の冷静な確認と慎重な行動が何よりの防御策となります。
個人がとるべき具体的な対策
金融取引サービスを安全に利用するために、個人が今すぐ実践できるフィッシング詐欺対策をリストアップします。証券会社や暗号資産取引所、銀行アプリなどをお使いの方は、以下の対策を改めて確認し徹底しましょう。
ログインに二要素認証(2FA)を導入する
パスワードだけに頼らず、+αの認証を必須にします。証券各社や取引所が提供する追加認証サービス(スマホアプリによるワンタイムパスワードや生体認証連携など)がある場合は有効化すべきです。
日本証券業協会も2025年に加盟58社での多要素認証の義務化を公表するなど、業界全体でログイン強化が進んでいます。特に金融系サービスでは2FAなしのログインは非常に危険です。
多要素認証については、以下の記事にまとめています。
パスワードの使い回し禁止・強固化
全てのサービスでユニークな強いパスワードを設定し、決して複数サイトで同じものを使い回さないでください。
過去に流出したパスワードを元に不正ログインを試みる「リスト型攻撃」も多発しています。
パスワードは英数字記号を組み合わせた長めのものにし、定期的に変更する習慣も有効です。管理が難しい場合は信頼できるパスワード管理アプリの利用も検討しましょう。
メール・SMS内のリンクは安易にクリックしない
金融機関からのメールやSMSに記載のURLを直接クリックするのは避け、公式サイトやアプリから自分でアクセスするようにします。
特に「アカウント停止」「要確認事項あり」等の緊急を装うメッセージほど疑ってかかりましょう。送信元アドレスのドメインやメッセージ本文の日本語に不自然な点がないかも確認してください。
心配な場合は、そのメールやSMSに記載の連絡先ではなく、自分で調べた正規の問い合わせ先に連絡し真偽を確かめましょう。
公式アプリ・サイト以外でログインしない
証券会社や銀行、取引所の利用は、公式のスマホアプリかブックマーク登録した公式サイトから行います。検索経由で公式サイトに行く際も、検索結果の広告枠に偽サイトが紛れていないか注意が必要です(フィッシング業者が公式に見せかけた偽広告を出す例もあります)。
また、第三者提供の家計簿アプリ等に金融機関のID/PWを連携させる場合は、そのサービスの信頼性をよく調べてからにしましょう。
不審な電話やSMSにも警戒する
「○○銀行セキュリティセンター」「△△証券カスタマーサポート」を名乗る電話やSMSが来ても、その場で個人情報を伝えないでください。少しでも不審に感じたら、一旦切って各社公式の窓口に自分から問い合わせましょう。
特に電話で暗証番号やワンタイムパスワードを要求されたら詐欺確定です。SMSの場合も本文中のURLに安易にアクセスせず、内容に心当たりがあるか冷静に判断します。
利用明細や取引履歴の定期チェック
クレジットカードの明細や証券口座の取引履歴、暗号資産の送金履歴などをこまめに確認する習慣をつけましょう。少額でも見に覚えのない取引があれば、そこで気づけば大きな被害を未然に防げます。
クレジットカード不正利用では数百円のテスト的な少額決済から始まることが多いとされます。証券口座でも、ログイン履歴に見知らぬ日時・IPがないかチェックすることをおすすめします。
万が一被害に遭った場合の初動対応
フィッシングサイトに誤って情報を入力してしまった場合は、被害を最小限に食い止めるため迅速に行動します。入力してしまったサービスのパスワードをすぐ変更し、取引所の場合は出金停止の依頼を、証券会社の場合は口座凍結の相談を速やかに行う必要があります。
また、クレジットカード番号を騙し取られた恐れがあるならカード会社に連絡し利用停止措置をとります。被害届を警察に提出することも、後々の補償手続き等で役立つ場合があります。
デバイスやネット環境のセキュリティ強化
日頃からPCやスマートフォンのOS・ブラウザ・セキュリティソフトを最新の状態にアップデートしておき、既知のフィッシングサイトをブロックするフィルタ機能などを活用することも重要です。
公共Wi-Fiで金融取引を行うことは避け、やむを得ず利用する場合はVPNを使うなど通信の暗号化に努めます。また、メールサービスの迷惑メールフィルタやキャリアのSMSフィルタリングサービス(例:楽天モバイルの迷惑SMS拒否設定)も積極的に利用すると良いと思います。
以上の対策を講じることで、フィッシング詐欺による不正ログインのリスクは大幅に低減できます。特に「疑わしきは踏まない・入力しない・応じない」という基本を常に念頭に置き、少しでも違和感を覚えたら立ち止まることが大切です。
まとめ
楽天証券やコインチェックで立て続けに明らかになったフィッシング詐欺・不正ログイン被害は、ネットで資産運用を行う私たちに大きな警鐘を鳴らしました。被害状況を見ると決して他人事ではなく、誰もが狙われうることが分かります。企業側もセキュリティ対策の強化や注意喚起に努めていますが、攻撃手口も日々進化しているため、「これで安心」という絶対的な防御策は存在しません。
多くの証券会社がフィッシング警告を掲示しユーザーに注意を呼びかけていますが、それでも最後の砦となるのはユーザー自身のリテラシーと警戒心です。
