証券口座が狙われている。セキュリティ対策をすり抜ける「インフォスティーラー」の正体と対策

infosteal 暇つぶし
2025.05.01

楽天証券やSBI証券など、大手証券会社で発生している不正アクセス被害。二段階認証を設定し、最新のセキュリティソフトを導入していても、なぜか資産が盗まれる。「もう自分には関係ない話ではない」。そんな危機感を持つ方も増えていることでしょう。

著名投資家のテスタさんも被害にあっています。

報道によると、原因の一つとして「インフォスティーラー」と呼ばれる情報窃取型マルウェアが挙げられていますが、事態はもっと複雑です。

この記事では、現在の被害状況と攻撃手法の実態を深掘りし、安易な対策に逃げないために、私たちが本当に知るべきことを解説します。

なぜ今、証券口座が狙われるのか?

背景には、2つの大きなトレンドがあります。

  • ① 日本人のネット金融利用率が急増
    コロナ禍以降、証券口座を保有する個人投資家は急増しました。野村総研の調査では、2023年時点で個人の証券口座数は7,000万件を超え、スマホだけで株や投資信託の売買を行う人も一般化しています。
  • ② マルウェアの標的が「金のなる木」へ
    以前は法人や公的機関が主なターゲットだったマルウェアも、今や個人資産の直接的な略奪に向かっています。「証券口座」はその最たるものです。

豆知識:「インフォスティーラー型マルウェア」は、2020年代に入ってから暗号資産の窃取やセッションハイジャックに使われ始めた比較的新しい脅威で、ChatGPTの登場後には偽のAIアプリを装った亜種も多数出回っています。

脅威①:インフォスティーラーの進化が止まらない

「情報窃取型マルウェア」とは、感染したPCやスマートフォンから、以下のような情報を密かに盗み出すプログラムです。

  • ログインID・パスワード
  • 取引暗証番号
  • Webブラウザに保存されたパスワード
  • セッションCookie
  • クレジットカード情報

特に注目すべきはセッションCookieの窃取です。これはログイン後の「状態」を保持する情報で、盗まれるとIDやパスワードを知らなくても不正ログインが可能になるケースがあります(「パス・ザ・クッキー攻撃」)。

インフォスティーラーは、以下のような経路で忍び寄ってきます。

  • フリーソフトや海賊版ソフトに仕込まれた偽インストーラー
  • フィッシングメールの添付ファイル
  • 不正広告や改ざんされたWebサイト

現代のインフォスティーラーは「難読化」されたコードや、正規ソフトに偽装した署名付きのプログラムを用いてセキュリティソフトの検出をすり抜けるため、「ウイルスチェックしてるから安心」はもはや通用しません。

脅威②:巧妙すぎるフィッシング詐欺

一方で、インフォスティーラーに次いで被害が多いのがフィッシング詐欺です。

本物そっくりの証券会社のサイトに誘導し、ID・パスワード・二段階認証コードまで入力させて詐取する手口は、次のような進化を遂げています。

  • メール+電話の合わせ技で「緊急性」を演出
  • URLも見た目もほぼ完璧な偽サイトの量産
  • 二段階認証コードのリアルタイム窃取(中間者攻撃)

こうして、被害者本人が入力したデータを、攻撃者がそのまま本物のサイトに転送してログインする…という恐ろしいシナリオが成立します。

セキュリティの“常識”が通用しない理由

「二段階認証があれば安全」という考えは、もはや過信といえます。

以下のような攻撃では、二段階認証が突破される可能性があります。

  • MITB攻撃(Man-in-the-Browser): ブラウザ自体に感染し、ログインや送金画面を改ざん。被害者は気づかず攻撃者の口座に資金を送ることも。
  • SMS認証の脆弱性: SIMスワップ詐欺でSMSそのものを乗っ取られる可能性。

つまり、「本人しか受け取れないはず」の認証情報が、第三者にリアルタイムで渡ってしまう時代なのです。

一つの原因ではない──複合型攻撃という現実

今回のような証券口座の不正被害は、「フィッシング+Cookie窃取+SMSハイジャック」など、複数の攻撃を組み合わせた複合型攻撃である可能性が高いです。

そのため、単純に「セキュリティソフトを導入すればよい」「SMS認証を使えばよい」という次元では対応できなくなっています。

ユーザー側の「小さな隙」が突かれている

攻撃者は、完璧なセキュリティを破るよりも、「ちょっとだけ注意が緩んだ瞬間」を突くほうがはるかに効率的だと知っています。

たとえば以下のような行動が、思わぬリスクを生むことになります。

  • いつものWi-Fiではなく、公衆Wi-Fiからアクセスしてしまった
  • 見たことのないソフトを何気なくダウンロードした
  • スマホのセキュリティアップデートを数ヶ月放置していた

対策は「複合型」で考えるべき

こうした高度な攻撃に対して、私たちにできる防衛策もまた「一つ」ではなく、層を重ねるように多層的に考える必要があります。

  • OS・アプリ・ブラウザを常に最新の状態に保つ
  • 怪しいメールやリンクには触れない。アクセスするのは常に公式サイトから
  • 使い回さず強固なパスワードを。可能ならパスワードマネージャーを導入
  • 認証方法はSMSではなく、認証アプリやFIDO2(生体認証)を使う
  • ブラウザのCookie設定や保存情報を定期的に見直す
  • 取引通知・出金通知・ログイン通知は必ずONに

関連情報: AppleやGoogleは、2025年現在、標準でFIDO2認証(物理セキュリティキーや生体認証)への移行を推奨しており、金融機関でも導入が進んでいます。SMS認証は徐々にリスクの高い選択肢とみなされつつあります。

私たちの資産を守るには

今回の証券口座の不正アクセス被害は、表面的には「ウイルス」や「フィッシング詐欺」といった個別の要素に見えますが、実際には複数の技術と心理操作が組み合わさった“複合的な戦略”によるものです。

つまり、攻撃側がチームで戦っているなら、防御側も単独プレイでは太刀打ちできません。

スポンサーリンク

コメント

タイトルとURLをコピーしました