証券口座への不正アクセスによって顧客が被った損失補償について、各社の金額が発表されました。
ブルーグバーグが報じています。
●野村証、SBI、楽天証ら顧客補償で損失を計上-不正取引問題https://www.bloomberg.co.jp/news/articles/2025-07-29/T055KNGQ7KZN00
上記記事によると、各社の補償額は次のとおり。なお、SBI証券の被害総額はまだ確定しておらず、補償額も拡大する可能性があるとのことです。
野村證券 66億円(全額補償)
SBI証券 80億円(半額補償)
楽天証券 10億5800万円(半額補償)
松井証券 2億7400万円(半額補償)
SBI証券の連結純利益(親会社株主に帰属する当期純利益)は1621億2000億円(2024.4.1~2025.3.31)、楽天証券の連結純利益は161億2800万円(2024.1.1~12.31)です。
SBI証券が補償額80億円(半額補償)を160億円(全額補償)にすると連結純利益の10%を吐き出すことになりますが、逆に言えば全額補償をしても1年間の利益の10%にすぎないということになります。
ネットが唯一のアクセス手段であるネット証券会社においては、不正アクセスを許すと顧客が安心してネット取引をすることができなくなり、最終的に自社の存立基盤を脅かす致命的なダメージを受けます。
IDとパスワードが流出することは容易に想定し得たリスクである以上、ネット証券各社はIDとパスワードが流出してもなお不正アクセスを許さないシステムを構築しなければならなかったのであり、それは多要素認証の導入によって比較的容易に実現することができたわけですから(楽天証券は「5月以降の不正アクセスはない」としています)、私は、証券会社は全額補償をもって自社のこれまでの怠慢(=不正アクセスを許すシステムのままで放置したこと)を顧客に詫びるべきだったと考えます。
モバイル事業で金がない楽天証券は、率先して全額補償を言い出すことができません。SBI証券が(少なくとも野村證券が全額補償を表明した直後の時点で)全額補償を表明したとすれば、野村證券によって対面証券各社が全額補償に舵を切ったようにネット証券各社も全額補償に舵を切ったものと思われます。
SBI証券は年間の利益の5%を惜しんだがために、不正アクセス被害にあった顧客はもとより不正アクセス被害にあわなかった顧客の信用(SBI証券に対する安心感と言い換えてもよい)を失ってしまった、私はそう思うのです。
【2025.7.30 18:50追記】
マネックス証券は、7月28日付けで下記リリースを出しています。
全額補償でも半額補償でもなく、それらを更に下回る水準のような印象を受けます。とても残念です。
被害補償については、被害に遭われたお客様に個別にご連絡させていただき、被害状況を十分に精査のうえ、当社の補償方針に基づいて決定いたします。そのため、既にお客様へのご連絡を開始しておりますが、被害補償には時間を要することをご理解いただけますと幸いです。
被害補償は、証券会社申し合わせに基づき、お客様ごとの個別の事情に応じて行います。フィッシング詐欺等によるIDやパスワード等の窃取が確認されていること、当社が提供していた多要素認証が必須設定ではなく任意設定であったことを含む当社が提供する取引システムのセキュリティ水準等を勘案したうえで、対応いたします。
なお、今般の被害に関して、ID、ログインパスワード、取引パスワード等の認証情報が、サイバー攻撃等により当社から漏洩した事実は確認されておりません。
これらの状況を勘案し、当社は被害補償として一定の金銭補償をさせていただく方針です。
半額補償という煮え切らない対応には私も失望しました。
返信削除しかしだからといって全額補償対応した対面証券に口座を移行する気にもなれず。
量子コンピュータが発展していけば高度なセキュリティ対策も突破されていく。
仮想通貨の略奪も簡単な世界。
つまり犯罪側とのイタチごっこは終わらない。
一方で証券会社も私企業である以上、無限に補償できるわけではない。
利用者側でもセキュリティとは別次元での工夫は必要。
ということで、ETFはほとんど売却して投信に切り替えました。(個別株は元々持っていない)
投信ならば犯罪側に売却されてもすぐには買付可能額には反映されず低位株や中国株を買われる悪事は防ぎやすくなる。
後は普段は投信の取引停止制限やログイン停止制限をかけるなどの対策くらい。
理解の浅いテレビメディアはともかく、日経新聞等でも、取引パスワードについて触れていないのが不思議です。
返信削除ログインID/パスワードが漏れただけでなく、取引パスワードまで取られないと不正取引は執行できません。
これは全ての証券会社で適用されているものかと思います。
不正取引被害者は取引パスワードまで漏洩した、という事実から、まあ半額補償で手打ちだろうなと思うところです。
コメントありがとうございます。
返信削除>利用者側でもセキュリティとは別次元での工夫は必要。
私も、証券会社についても分散させたほうがよさそうな気がしています。
>投信ならば犯罪側に売却されてもすぐには買付可能額には反映されず低位株や中国株を買われる悪事は防ぎやすくなる。
確かにそうですよね。
私も米国ETFの売却を本気で考えようと思っています。
>ログインID/パスワードが漏れただけでなく、取引パスワードまで取られないと不正取引は執行できません。
確かにその通りですが、IDとログインパスワードを突破されれたのであれば取引パスワードの突破も時間の問題のような気がします。
>不正取引被害者は取引パスワードまで漏洩した
ほとんどのケースは顧客がフィッシング詐欺にひっかかって自ら入力したのだろうと思いますが、だからこそワンタイムパスワードの入力を必須化すべきだったと思います。
https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=none&dir=service&file=home_security_fido2.html
返信削除FIDO2が始まるようです。
これはありがたい気がしますがお手隙の際にレビューお願いします。
コメントありがとうございます。
返信削除>FIDO2が始まるようです
かたくなに認証アプリを導入しないのはなぜなのかがよく分かりませんが、私は、自分でリアルタイムパスワードを入力してログインする方式のほうが安心できます。
ワンタイムパスワードなら安心だと盲信してるとリアルタイムフィッシングに引っかかる
返信削除認証アプリを使えば安心だと盲信してるとリアルタイムフィッシングに引っかかる
Webブラウザ内蔵のFIDO2を使わないとリアルタイムフィッシングは防げない
こんにちは。初めてコメントします。マネックス証券がメインなので大変失望しました。上記の追記が出る前に私も問い合わせてみたのですが「個別対応させて頂きます」のみで男爵さんのおっしゃる通り,これではマネックス証券は半額補償もされないのでは?という疑念が強くなりました。
返信削除しかし,こんな中途半端なリリース発表したら余計に不信感与えそうなことは素人でも気が付きそうなのに…。余りにも面倒くさいので証券口座の移管は考えていなかったのですが,真剣に考えてみる必要が出てきました。
コメントありがとうございます。
返信削除>認証アプリを使えば安心だと盲信してるとリアルタイムフィッシングに引っかかる
玄関のカギを自分で開ける実感が欲しいです。
>FIDO2を使わないとリアルタイムフィッシングは防げない
更に認証アプリも利用できるようにしてほしいと思っています。
>マネックス証券は半額補償もされないのでは?という疑念が強くなりました。
半額補償するのであれば他社と足並みをそろえて発表すればよかったわけですし、半額補償よりも手厚い補償をするのであればその旨の記載があるはずですから、やっぱり半額補償すらしないような気がしますよね。
>こんな中途半端なリリース発表したら余計に不信感与えそうなことは素人でも気が付きそう
半額補償すらしないということを明言すると炎上するリスクがあるため、具体的な補償基準を明記しなかったという疑いがどうしても生じます。
マネックス証券は、今回の対応を完全に間違えたと思います。残念です。