証券口座の不正取引

　2025年、証券口座を標的とした不正取引が急増した。金融庁の公表資料によれば、2025年1月から2026年3月までの累計で、不正取引は1万件を超え、不正な売却・買付金額の合計は約8,000億円に達した。クレジットカード不正利用や特殊詐欺、かつて社会問題化した偽造キャッシュカード事件と比べても、桁違いの規模である。これは単なるサイバー犯罪の増加ではなく、オンライン証券取引の設計と運営をめぐるリスクガバナンスの問題として捉える必要がある。
　筆者は2003年頃、銀行のインターネットバンキングの不正利用が注目され始めた時期に、証券会社のオンライン取引についても、認証方式の見直しが必要ではないかと問題提起したことがある。当時の証券口座の認証は、IDとパスワードを中心とする脆弱な方式にとどまっていた。しかし、業界では、証券口座には銀行のような第三者への送金機能がないため、高度なセキュリティ対策は不要という見方が強かった。
　確かに、国内株式の売買が中心であれば、その判断には一定の理由があった。国内株式市場は実名取引が基本であり、売買記録も制度的に残る。不正取引が行われても、関係者や資金の流れを追跡できる可能性は比較的高かった。
　しかし、その判断は、国内株式取引を中心とする時代のリスク評価にすぎなかった。その後、証券会社のオンライン取引は、米国株、香港株、さらに中国本土市場に接続する取引へと、20年以上をかけて段階的に拡張されていった。商品・市場範囲の拡大の中で、海外の低流動性銘柄へのアクセスも徐々に可能になっていった。
　今回の不正取引では、犯人が乗っ取った証券口座内の資産を売却し、その資金で流動性の低い銘柄を買い付けることで価格を押し上げ、別口座に保有していた株式を高値で売り抜けたとみられる。証券口座に送金機能がなくても、市場取引そのものを通じて被害者の資産を犯人側に移転することが可能だったのである。
　証券会社には、取扱市場や商品の拡大に応じて、認証や取引監視の水準を継続的に見直すことが求められていた。にもかかわらず、国内株式中心の時代に許容された認証水準が、十分な見直しなしに維持されてしまった。
　もちろん、利用者がフィッシングメールや偽サイトに注意することは重要である。しかし、数千億円規模の被害を利用者の不注意だけで説明することはできない。証券会社は、オンライン取引の利便性を高め、取扱商品を拡大してきた以上、それに見合う認証、取引監視、異常検知、取引制限、補償ルールを整備する責任を負っていた。これは情報システム部門だけの問題ではなく、経営としてどこまでのリスクを許容し、どのように管理するかというガバナンスの問題である。
　金融機関がデジタルサービスの範囲を広げれば、顧客にとって便利になるだけでなく、攻撃者にとっても価値の高い標的となる。金融のデジタル化において問われるのは、利便性の拡大だけでなく、その利便性が悪用された場合の損害をどこまで予見し、制御するかなのである。