5億円消失も…証券口座乗っ取りの手口と“補償されない現実”｜銀行の本店はなぜ仰々しいのか？｜鈴木雅光

銀行の本店はなぜ、あれほど仰々しいのか。なぜ銀行は儲かるのか。証券会社や保険会社は、本当に顧客本位で動いているのか――。私たちの生活に深く関わる金融の世界には、知っているようで知らない“仕組み”と“裏側”があります。

そんな金融業界のリアルを解き明かすのが、金融ジャーナリスト・鈴木雅光さんの著書『銀行の本店はなぜ仰々しいのか？　金融業界の謎』。本書では、銀行・証券・保険といった身近な金融機関の構造や慣習、そして不祥事が繰り返される背景まで、豊富な知見と取材をもとにわかりやすく解説しています。本記事では、その一部をご紹介します。

＊　　　＊　　　＊

証券口座乗っ取りの真相

最近、話題になった話にも少し触れておきましょう。2025年になって発覚した、証券口座乗っ取り事件です。

本当に、インターネットって怖いなと思わされた事件でした。

自宅のパソコンのメールソフトを開くと、本当にさまざまな金融機関を騙ったメールが送られてきます。そのなかに、たまたま自分が口座を持っている金融機関からのメールがあったら、ちょっと気になることもあるでしょう。

こうして送られてきたメールに記載されているURLをクリックすると、金融機関のサイトに巧妙に似せてつくられた偽サイトに飛ばされ、求められるがままにIDとパスワードを入力すると、そのまま犯罪者たちにそれらを盗まれてしまう。そして、それが悪用され、正規サイト上の自分の口座への不正アクセスを許してしまうのです。

不正アクセスされたら、もう最後です。自分が保有している株式などが売却され、その資金で全く知られていない外国企業の株式に投資されてしまうのです。

もちろん、買わされた銘柄が成長企業なら結果オーライになるかもしれませんが、買われるのは取引がほとんど行われていない“ボロ株”です。なぜボロ株を買わされるのかというと、取引高が少ないため、株価を吊り上げやすいからです。

もちろん、この犯罪の首謀者たちは、すでに安いところでこのボロ株を買っています。そして、不正アクセスした誰かの口座の資金を使って、ボロ株を買い上げていきます。そして、株価が十分に吊り上がったところで、自分たちが安い株価で買っていた分を売り抜けて利益を確定させます。

当然、このような売りが高値で出れば、そのボロ株の株価は下落に転じます。そこでこの犯罪集団は、信用取引を使って、カラ売りを仕掛けます。売りが売りを呼んで、株価は暴落します。そして、十分に株価が下がりきったところを狙って、今度はそのボロ株を買い戻します。これによって、株価の下落局面でも大きな利益を得るのです。

全くもって、よく考えられた手です。金融庁が各証券会社から受けた報告によると、2025年1月から7月までの7カ月間に確認された不正アクセス件数は1万4069件、不正取引件数が8111件、そして不正取引による売却金額が約3307億円で、買付金額が約2898億円だったそうです。

「自己責任か、補償か」証券会社が揺れた判断

問題は、この被害に遭った人たちの損失を補償するかどうかでした。当初、証券会社は顧客に対する被害補償に対して消極的だったのは事実です。

いくつか理由はありますが、そもそもこれは証券会社側のシステムに問題がなかったからです。正規のID、パスワードを用いたログインについては、本人のものであるとみなす旨が規約に明記されており、オンライン取引を利用する人たちは、登録に際して必ずこの規約に同意しています。

また、いささか金融庁の初動が遅かった面も否めません。証券口座乗っ取りが顕在化したのが2025年1月からなので、この時点で多要素認証（複数の方法で本人確認をする仕組み）を徹底させれば、ここまで被害が広がることはなかったと思われます。

加えて、大口取引を行っているデイトレーダーは多要素認証を嫌う傾向にあり、そこに対する配慮もあったと思います。大口資金で1日の間に何度も売買を繰り返してくれるデイトレーダーは、インターネット証券会社にとってはとてもよいお客さんです。

そのデイトレーダーにとって大事なのは、自分が取引したい時に、いつでも口座を瞬時に開いて売買できる迅速性です。その点、IDとパスワードを入れれば、即、取引画面に移れる従来のシステムは、何かと便利だったのです。

しかし、多要素認証を導入すれば、IDとパスワードを入力した後、PCメールやスマートフォンのショートメールに届く暗証番号を入力しないと、取引画面に移れません。

これは証券会社によって異なりますが、暗証番号が届くまでに、数秒かかるケースもあります。特にデイトレーダーは数秒の差が命取りになったりもするので、できれば多要素認証は避けたいと考える人がいても不思議ではありません。

もちろん、前述したように証券口座乗っ取りで被害が生じたとしても、基本的に証券会社に落ち度はないので、状況を放置していた面もあります。結果、多要素認証の導入までに時間がかかり、被害額が大きく膨らんだのです。

被害拡大で方針転換　政府・金融庁が動いた理由

とはいえ、あまりにも被害が拡大したことから、政府機関も動かざるを得なくなり、たとえば加藤勝信前金融担当大臣は、誠実な対応を取ることを証券会社に対して求めたり、金融庁が証券会社に対して、セキュリティ対策が不十分な場合は業務改善命令を出せるように監督指針を見直すという動きも見られました。

その結果、各証券会社は多要素認証の導入を進めました。また、対応内容には各社で違いがあり、野村證券、大和証券、SMBC日興証券、三菱UFJモルガン・スタンレー証券、みずほ証券のような大手は、不正に売却された株式の返還や、不正に購入された株式の削除といった原状回復措置を講じました。一方、インターネット証券は被害額の50％を補償する方針を示しています。

80代の男性のもとに「配当に関するお知らせ」を装った精巧なメールが2025年の6月に届き、偽サイトへ誘導されてIDとパスワードを盗まれたというケースでは、数日後に口座を確認すると、5億円相当の株式が勝手に売却され、取引も出入金も停止されたままだったとのことです。

「2分の1補償」を掲げるSBI証券に対し、男性は不正に売却されたすべての有価証券の返還を求め、2025年11月に提訴しました。

男性が「老後のためにすべてをかけ資産を積み上げてきた」と訴える一方、SBI証券は「顧客の認証情報が自社側から漏洩した可能性はなく、返還義務もない」と反論しているとのことです。

今回のケースは、投資家保護と自己責任の境界を改めて問いかけるものであり、投資家にとっては今後の判決から目が離せない裁判と言えます。

金融機関はなぜ長らく「顧客本位でない」ことを続けられたのか

これは証券会社に限らず、銀行や保険会社にも当てはまりますが、総じて金融機関には、儲けようと思えば簡単に利益を上げられる構造が内在しています。

証券会社であれば、多大なリスクとコストが利用者に転嫁されるにもかかわらず、その事前説明が不十分な仕組債をガンガン販売したり、保険会社であれば加入者からの保険金請求に対し、告知義務違反を理由に支払いを拒むといった事例が、過去に大きな問題となりました。

そして、販売の最前線に立つ社員のなかには、こうした行為が組織の発展につながると信じ、悪いことをしているという認識が希薄な場合もあります。ある意味、誰もが“ダークサイド”に引き寄せられる誘惑に満ちた業界ともいえるのかもしれません。

だからこそ、金融機関の設立には厳しい制約が課されています。銀行や保険会社をつくるには免許が必要です。証券会社は銀行や保険会社ほどではないにせよ、複数の厳しい要件を満たして初めて登録が認められます。

金融業界では、なぜ“顧客より儲け”になりやすいのか

誰もが簡単に設立できるものではありません。金融機関は「儲けようと思えば儲けられる」強力な仕組みを内包しているため、高い参入障壁が設けられているのです。

従来、金融機関には「ミニマム・スタンダード」と呼ばれる、必ず遵守すべき最低基準が課せられていました。しかし一部の金融機関は、この基準を逆手に取り、「この規制さえ守れば、あとは何をしてもよい」と捉える傾向がありました。これは、「ルールさえ守れば何をしてもいい」といった稚拙な発想と同じであり、道徳意識の頽廃につながる危険な考え方です。

それではさすがにまずいので、今、金融機関に対する規制は「ミニマム・スタンダード」というルールから、「プリンシプル」へと移行しています。

プリンシプルとは原理原則のことで、ここに生まれたのが、先にも触れた「顧客本位の業務運営」の原則なのです。

顧客本位の業務運営とは、お客さんにとって、よりよいことを実践することです。そこにさまざまな創意工夫をこらし、金融業界の底上げを図っていくのが、目下、金融行政の柱となっています。

しかし、よく考えてみれば、顧客本位などというものは、たとえば小売業界やサービス業界などでは当たり前のことです。「高値を吹っ掛けて儲けてやろう」などと思ったら、同じものをもっと安い値段で販売している小売店にお客さんを持っていかれてしまいますし、粗悪品を販売していたら、やはり他のもっと良質なものを販売している小売店に、お客さんを取られることになります。

ところが、同じ客商売なのに、なぜか金融機関は規制に守られながら、顧客本位ではないことを平気で行ってきました。