2025年4月28日、SBI証券は、昨今のフィッシング詐欺やマルウェアによる被害の増加を受け、自社から配信するEメールの内容方針を一時的に変更することを発表しました。
今後は、ユーザーを安全に保護する目的で、メール内にパスワード入力を促すページのURLやログインリンクを原則記載しない運用に切り替えるとしています。
目次
不正アクセスが相次ぐ中での対応強化
この変更は、金融庁が発表した**証券口座乗っ取り被害(2025年2月〜4月で1,454件、被害総額約954億円)**という前例のない規模のサイバー攻撃を背景にしています。楽天証券やSBI証券を含む大手6社が標的となり、フィッシング詐欺によって認証情報が盗まれた上で、勝手な株式売買や相場操縦が行われたとされています。
著名投資家テスタ氏も、X(旧Twitter)上で自身の楽天証券口座が第三者に乗っ取られ、不正注文が行われたことを公表するなど、個人レベルでも深刻な被害が顕在化しています。
【SBI証券】新たなメール配信ポリシーの主な内容
SBI証券が発表した変更内容は以下の通りです:
一時的な変更方針(2025年4月25日以降)
-
メール本文中に ログインやパスワード入力を促すURLを記載しない
-
キャンペーンやサービス案内メールにもURLを掲載しない
-
メールの下部には「お問い合わせ先」や「ご案内メールの配信停止手続き」など、安全な基本情報リンクのみ記載
これにより、利便性は一時的に低下する可能性がありますが、フィッシング詐欺による誤認アクセスを防ぐことが目的です。
セキュリティ通知メールの構成例
ログイン通知や登録情報の変更、出金指示受付などの通知メールについても、今後はすべてのセキュリティ系メールでリンクURLを排除。
「ブックマークからアクセス」することを推奨し、以下のような内容で統一されます
-
お問い合わせフォーム
-
よくある質問
-
登録メールアドレスの変更・確認手続き など
SBI証券の呼びかけ:「ブックマークからのアクセスを」
SBI証券は、公式サイトへのアクセスは必ずブックマークや公式アプリ経由で行うようユーザーに強く呼びかけています。メールに記載されたリンクを安易に開かず、ログイン情報の再入力は避けることが重要です。
また、スマートフォンを活用したFIDO認証(指紋・顔認証等)やデバイス認証の設定も推奨しており、MFA(二段階認証)の強化を進めています。
フィッシング詐欺の巧妙化と今後の課題
今回の対策は、フィッシング詐欺が単なる迷惑メールを超えて、実際の金融資産を狙った巧妙なサイバー犯罪に進化している現状への強い警戒を反映したものです。
金融庁が発表した被害の実態(2025年2月〜4月)
| 項目 | 件数・金額 |
|---|---|
| 不正取引件数 | 1,454件 |
| 売却額(被害額) | 約506億円 |
| 買付額 | 約448億円 |
| 総被害相当額 | 約954億円(出金なし) |
※出金は未確認であり、損害は主に相場操縦目的の株式売買によるとみられています。
1月には1億7200万通以上のフィッシングメールが配信
Proofpoint(プルーフポイント)の調査によると、日本のユーザーを標的としたCoGUIというというフィッシングキットであり、Amazon、PayPay、楽天などの著名なブランドを装ったメールを大量に送信していると指摘されています。
これらのメールは、ユーザーの認証情報や支払い情報を盗み取ることを目的としています。2025年1月には、1か月で1億7200万通以上のCoGUI関連のメールが確認されました。
セキュリティ対策の再点検ポイント
今回のインシデントを機に、証券会社およびユーザー双方に求められる対策は以下の通りです
-
多要素認証(MFA)の設定・義務化
-
フィッシング検知システムの導入と継続教育
- メールからサイトへログインしない
-
アカウント異常時の即時凍結システムの整備
-
メールフィルターや迷惑メール検知AIの活用
-
偽サイト誘導対策としてのDNS/URLフィルタリングの実装
