オザワークスです。
最近、リアルタイムフィッシング詐欺という新しい詐欺を使った証券口座の不正ログインが増えてきているそうです。
次から次へとよく思いつくよ、ホントに。
まずは、配当から。
今週の配当
(マネックス・特定) $11.85
【CM】カナディアン・インペリアル・バンク・オブ・コマース
(マネックス・特定) $8.32
配当の合計
2024年10月合計 $712.36
2023年10月合計 $594.04
2022年10月合計 $482.40
2021年10月合計 $382.30
2020年10月合計 $294.83
2025年合計 $6124.41
2024年合計 $7388.10
2023年合計 $6933.93
2022年合計 $6253.04
2021年合計 $5882.29
2020年合計 $5689.33
今まで全部合計 $60452.65
2024年PayPay証券配当合計 ¥21416
2023年PayPay証券配当合計 ¥13065
2022年PayPay証券配当合計 ¥8571
2021年PayPay証券配当合計 ¥4377
2020年PayPay証券配当合計 ¥1086
今まで全部PayPay証券配当合計 ¥69203
今週の取引ほか
(松井・FX) 売り $20.00
【VTI】バンガード・トータル・ストック・マーケットETF
(PayPay・特定) 売り 1.96株(10万円分) 利益確定
【DVY】iシェアーズ米国好配当株式ETF
(PayPay・特定) 買い 4.14株(9万円分) 買い増し
FX口座の現在の状態
フィッシング詐欺とは?
皆さんは「リアルタイムフィッシング詐欺」という詐欺をご存じですか?
まず、フィッシング詐欺ってのがありますよね。
詐欺をする側が投資家に証券会社を装ってメールを送り付けます。
そのメールには、お客様のセキュリティ設定に問題が発生したため至急ログインして設定をやり直してください、とか書かれていて、メール内にログインページへのリンクが付いています。
メールの内容に慌てた投資家がメール内のリンクからログインページに飛んで、いつものようにログインIDとログインパスワードを入力してログインしようとします。
が、はて? ログインできない。
それもそのはずで、メールのリンク先にあるのは本物のネット証券のサイトそっくりに作られた偽サイトだからです。
詐欺をする側は、本物そっくりの偽ログインページで投資家に本物のログインIDとログインパスワードを入力させることでそれらを盗み取り、今度は自分たちで本物のネット証券にまんまとログインして投資家の資産を奪っていきます。
これがフィッシング詐欺による不正ログインの代表的な手口です。
フィッシング、まるで釣りのように偽メールで投資家を釣り上げているのですね。
リアルタイムフィッシング詐欺の流れ
では、そのフィッシング詐欺がリアルタイム化するのどうなるのか?
2025年、激増するフィッシング詐欺による不正ログインを防止するため各ネット証券は、従来のログインIDとログインパスワードに加えて、電話番号認証やSMSによるワンタイムパスワードなどの追加認証を導入しました。
ログインIDとログインパスワードを入力した後、さらに投資家個人しか持ちえない電話番号やスマホのSMSなどを使って認証するのでかなりセキュリティ強度は上がりました。
しかし、リアルタイムフィッシング詐欺は、その追加認証すらも打ち破ってくる、より高度な詐欺です。
その詐欺の流れをわかりやすく表した画像がマネックス証券にありました。
⇒マネックス証券公式「フィッシング詐欺(ネット犯罪の内容と対策)」
解説しますと、まず投資家に偽メールを送り付けて偽サイトに誘導し、ログインIDとログインパスワードを盗むところまでは一緒です。
で、ここからがリアルタイムになります。
詐欺をする側は今手に入れたログインIDとログインパスワードで即座に本物のネット証券にログインしようとします。
ですが、画面には追加認証のワンタイムパスワードをSMSで送ったから入力してくれと出て、このままでは詐欺側はログインできません。
一方、偽サイトにIDとパスワードを入れてログインしようとしている投資家の画面にもワンタイムパスワード入力を求める表示が。
そして、投資家のスマホには本物のネット証券からワンタイムパスワードの着信が入ります。
今、リアルタイムに詐欺師の側が本物のネット証券にログインしようとしていますからね。
そして何も知らない投資家は、偽のログイン画面にワンタイムパスワードを入れてしまいます。
もちろん詐欺側はそれを待っていて、偽サイトで手に入れたワンタイムパスワードを本物のネット証券で入力して、これで追加認証を突破できました。
以上が、リアルタイムフィッシング詐欺の手口です。
まさにリアルタイムで詐欺が進行しています。
追加認証ではもう防げない
正直言ってぼくは、追加認証が導入定着した段階でこれはかなり安全になったなと思っていたんです。
だって、投資家個人が持つスマホにそのときだけしか使えないワンタイムパスワードが来て、それを入れないとログインできないんですよ。
スマホを取られない限り不正ログインなんかできないでしょ。
でも、上の説明を見ると、リアルタイムで詐欺をやられちゃうとワンタイムパスワードも万全ではないんですよね。
これ、電話番号の認証とか、画像を選択する認証とかでも同じですよ。
投資家の側には偽サイトを表示したまま、電話かけろ、画像選べ、って本物のログインページがやっているように指示すればいいだけですからね。
このやり方だとどんな追加認証も突破されかねないですね。
正直ぼくは、詐欺師ってこれ思いつくんだから賢いよなあ、と思いました。
しかも、上の画像ではなんか詐欺側がフードを被ったいかにも悪いハッカー的なイメージになっていますけど、実際にはこのリアルタイムフィッシング詐欺をコンピュータープログラムが自動的にやっていますからね。
向こう側に人間の詐欺師がいてリアルタイムでなんかやってる、わけじゃないんですよ。
不正ログインを自動的にやってくれるプログラムを作っているんです。
いや、どんだけ頭いいんだって?
マジで戦慄しました。
最新のパスキー認証を導入しよう
こうしたリアルタイムフィッシング詐欺は徐々に広がりを見せつつあります。
なので、それに対抗するためネット証券側も最新の「パスキー認証」導入の動きが始まりつつあります。
ネット証券としてもこんな詐欺を放っておくわけにはいきませんからね。
投資家側もこうした事情をしっかりと理解して、追加認証より安全なパスキー認証を使っていきたいですね。
いや、ぼくも面倒だなと思いますよ。
でも自分の資産を守るためですから。
仕方なしです。
パスキー認証についての記事はこちらです。
RSS - 投稿
(マネックス・特定) $2.60