証券会社を名乗るSMSやメールが届いたとき、「本物かもしれない」と思ってリンクを開きたくなることがあります。しかし、証券口座を狙うフィッシングでは、本物そっくりの偽サイトや偽アプリに誘導されるケースがあるため、スマホからの確認方法を決めておくことが大切です。
- 証券会社から届いたSMSやメールのリンクを開いてよいか判断できる
- 公式アプリ・ブックマーク・パスキーを使った安全な確認方法がわかる
- 不審なログインや取引に気づいたときの初動を整理できる
こんな方におすすめの記事です
- スマホでネット証券や投資アプリを使っている方
- 証券会社を名乗るSMSやメールが本物か不安な方
- パスキーやワンタイムパスワードの安全な使い方を確認したい方
本記事では、証券口座の不正アクセス対策として、SMSリンクを開かずに公式アプリ・ブックマーク・パスキーを使って安全に確認する方法をわかりやすく解説します。(専門知識は不要です!)
注:この記事は、投資商品の選び方や証券会社の比較ではなく、スマホ利用者向けの防犯・アカウント保護を目的とした内容です。特定の証券会社や投資商品、口座開設を推奨するものではありません。
⚠️ まず守りたい基本ルール
証券会社を名乗るSMSやメールが届いても、本文中のリンクからログインしないことが基本です。確認が必要な場合は、公式アプリ、事前に登録したブックマーク、または証券会社の公式サイトからアクセスしてください。
証券口座の不正アクセス対策は「リンクを開かない」から始める
証券口座の不正アクセス対策で最初に意識したいのは、SMSやメールのリンクからログインしないことです。見覚えのある証券会社名で届いたメッセージでも、送信者名や本文の見た目だけで本物と判断するのは危険です。
金融庁の注意喚起では、実在する証券会社のウェブサイトを装った偽サイトなどでログインIDやパスワード等が盗まれ、不正アクセス・不正取引につながる被害に注意するよう呼びかけています。
証券会社を名乗るSMS・メールでもリンクからログインしない
「重要なお知らせ」「不正ログインを検知しました」「本人確認が必要です」といった文面が届くと、急いで確認したくなるかもしれません。しかし、こうした焦りを利用して偽サイトへ誘導するのがフィッシングの典型的な手口です。
とくにスマホでは、画面が小さく、URLの細かな違いに気づきにくい場合があります。正しい証券会社名が表示されていても、リンク先が本物とは限りません。迷ったときほど、リンクを押さずに公式ルートへ切り替えることが重要です。
確認は公式アプリ・ブックマーク・公式サイトから行う
証券口座の状態を確認したいときは、メール本文のリンクではなく、普段から使っている公式アプリや、事前に登録したブックマークからアクセスします。ブラウザで利用する場合も、検索結果や広告経由ではなく、正しいURLを保存しておくと安全確認がしやすくなります。
警察庁のフィッシング対策でも、電子メールやSMS内のリンクを安易にクリックせず、公式サイトをお気に入り・ブックマークに登録したり、公式アプリを活用したりして正しいサイトに接続するよう案内されています。
この記事で扱うのは投資判断ではなく口座保護
この記事では、どの証券会社がよいか、どの商品を買うべきかといった投資判断は扱いません。焦点は、すでに利用している証券口座をスマホで安全に確認し、不正アクセスや偽サイトへの入力を避けることです。
投資経験の有無に関係なく、ネット証券や投資アプリを使っている方は、ログイン方法・認証設定・通知設定を見直しておくと安心です。
証券口座を狙う偽サイト・偽アプリ・リアルタイムフィッシングの手口
証券口座を狙う攻撃では、偽サイトや偽アプリを使ってログイン情報を盗むだけでなく、入力された情報をすぐに悪用する手口もあります。手口を細かく覚える必要はありませんが、「本物に似せた画面へ誘導される」という前提は持っておきましょう。
日本証券業協会の注意喚起でも、証券会社等を装った偽サイトや偽アプリ、フィッシング、マルウェアなどによる不正アクセス・不正取引への注意が呼びかけられています。
偽サイトは本物のログイン画面に似せて作られる
フィッシングサイトは、本物の証券会社のログイン画面に似せて作られることがあります。ロゴや色、入力欄の配置が似ていると、スマホ画面では違和感に気づきにくい場合があります。
偽サイトにログインID、パスワード、取引暗証番号などを入力してしまうと、第三者に情報を盗まれるおそれがあります。画面の見た目で判断するより、「どこからアクセスしたか」を重視してください。
ワンタイムパスワードも偽画面に入力すると悪用される場合がある
ワンタイムパスワードは、一定時間だけ有効な認証コードです。通常のパスワードだけより安全性を高める仕組みですが、偽サイトに入力してしまうと、その場で悪用される可能性があります。
⚠️ ワンタイムパスワードでも油断しない
ワンタイムパスワードは「本物のログイン画面に入力する」ことが前提です。SMSやメールのリンクから開いた画面に入力するのではなく、公式アプリやブックマークから開いた画面であることを確認してください。
「ワンタイムパスワードを使っているから絶対に安全」と考えるのではなく、入力する入口が本物かどうかを確認することが大切です。
偽アプリ・不自然なポップアップ・追加情報入力にも注意する
偽アプリや不自然なポップアップにも注意が必要です。たとえば、通常とは違う画面で追加の個人情報や認証情報を求められた場合は、そのまま入力せず、公式サイトのお知らせや公式窓口で確認してください。
フィッシングSMS全般の見分け方を詳しく確認したい場合は、関連記事のフィッシングSMSの見分け方と基本対策も参考になります。ただし、証券口座では「怪しいかどうかを見分ける」よりも、最初からリンクを開かない運用にする方が安全です。
スマホで安全に確認する3つのルート
証券口座をスマホで確認するときは、毎回同じ安全ルートを使うようにしましょう。おすすめは、公式アプリ、ブックマーク、公式サイト内のお知らせの3つです。
公式アプリ
普段から利用している正規のアプリから確認する方法です。アプリの入手元は、証券会社の公式サイトから確認するのが安全です。
ブックマーク
ブラウザで利用する場合は、正しいURLをあらかじめ登録しておき、毎回そのブックマークからアクセスします。
公式アプリからログインする
スマホで証券口座を使う場合、公式アプリは安全確認ルートとして使いやすい方法です。ただし、アプリを入手するときは、SMSやメールのリンクではなく、証券会社の公式サイトから案内されているアプリストアのページを確認してください。
すでにアプリを使っている場合でも、アプリ名が似た偽アプリに注意が必要です。機種変更や再インストールのタイミングでは、検索結果だけで判断せず、公式サイトの案内から確認すると安心です。
ブラウザ利用時は正しいURLをブックマークしておく
ブラウザで証券口座にログインする場合は、正しいURLをブックマークしておきます。一度正しいURLを確認して登録しておけば、毎回検索する必要がなくなり、偽広告や偽サイトに誤って入るリスクを下げられます。
ブックマーク名は「〇〇証券 公式ログイン」のように、自分がわかりやすい名前にしておくとよいでしょう。家族に説明する場合も、「証券会社からSMSが来ても、このブックマークから見る」と決めておくと運用しやすくなります。
重要なお知らせは公式サイト・公式アプリ内で確認する
本当に重要なお知らせであれば、公式サイトや公式アプリ内にも掲載されていることが多いです。メールやSMSで通知を受け取った場合でも、本文のリンクを押すのではなく、公式ルートからログインしてお知らせ欄を確認してください。
「今すぐ手続きしないと口座を停止する」「取引を制限する」といった強い表現があるほど、いったん落ち着いて公式アプリやブックマークから確認することが大切です。
パスキー・多要素認証・通知設定で確認したいこと
証券口座を守るには、ログイン経路だけでなく、認証設定も見直しておきましょう。金融庁は、ログイン時・取引時・出金時・出金先銀行口座の変更時などの多要素認証や通知サービスを有効にするよう案内しています。
パスキーはフィッシングに強い認証方式として導入が進んでいる
パスキーは、パスワードの代わりにスマホの生体認証や端末ロックなどを使ってログインする認証方式です。FIDO Allianceは、パスキーをフィッシングに強く、共有する秘密情報を持たない認証方式として説明しています。
証券会社によって対応状況や設定方法は異なります。利用中の証券会社がパスキーなどのフィッシング耐性のある認証を提供している場合は、公式アプリや公式サイトから設定方法を確認してください。
パスキーの仕組みを先に知りたい場合は、関連記事のパスキーの仕組みとスマホでの使い方で基本を確認できます。
ログイン時・取引時・出金時・登録情報変更時の認証を確認する
証券口座では、ログインだけでなく、取引、出金、出金先銀行口座の変更、登録情報の変更など、重要な場面で追加認証が設定できる場合があります。
証券口座で確認したい認証設定
- ログイン時に多要素認証が有効になっているか
- 取引時や出金時に追加認証が必要になっているか
- 出金先口座や登録情報の変更時に通知・認証があるか
- パスキーなど、より強い認証方式が提供されていないか
どの項目を設定できるかは証券会社によって異なります。設定画面がわからない場合は、証券会社の公式ヘルプや公式サイト内のセキュリティ案内を確認してください。
ログイン通知・取引通知をオンにして異変に早く気づく
通知設定も重要です。ログイン通知、取引通知、出金通知、登録情報変更通知などを有効にしておくと、身に覚えのない操作に早く気づきやすくなります。
通知が多すぎると見落としやすくなるため、少なくともログイン・取引・出金・登録情報変更のような重要操作は通知対象にしておくとよいでしょう。
ワンタイムパスワードだけに頼らないスマホ本体の守り方
証券口座を守るには、認証コードだけでなく、スマホ本体の状態も整えておく必要があります。古いOSやアプリを使い続けたり、同じパスワードを使い回したりすると、フィッシング以外のリスクも高まります。
ワンタイムパスワードは偽サイトに入力しないことが前提
ワンタイムパスワードは便利な仕組みですが、入力する画面が偽物なら安全性は大きく下がります。SMSやメールのリンクから開いた画面でコード入力を求められた場合は、いったん閉じて、公式アプリやブックマークから確認してください。
「認証コードが届いたから本物」と考えるのではなく、「自分が公式ルートから操作しているか」を確認することが大切です。
OS・アプリ・ブラウザを最新に保つ
金融庁は、マルウェアによる情報窃取の被害を防ぐため、PCやスマートフォン等のソフトウェアを最新の状態に保つことも案内しています。スマホのOS、証券会社の公式アプリ、ブラウザは、できるだけ最新の状態に更新しておきましょう。
更新を後回しにしていると、古い不具合や脆弱性が残ったまま使い続けることになります。自動更新を有効にしておくと、更新忘れを減らしやすくなります。
パスワードの使い回しとSMS認証依存を見直す
やむを得ずパスワードを使う場合は、他のサービスと同じパスワードを使い回さないようにしましょう。ほかのサービスから漏れたパスワードが、証券口座へのログインに悪用される可能性があります。
また、SMS認証は便利ですが、電話番号を悪用されるリスクもあります。SMS認証そのものを過度に怖がる必要はありませんが、利用中の証券会社がパスキーなどの認証方式を提供している場合は、公式案内を確認して切り替えを検討しましょう。
SMS認証に関連するリスクを詳しく知りたい場合は、関連記事のSIMスワップ詐欺とSMS認証のリスクも参考になります。
不審なログイン・取引に気づいたときの初動
不審なログイン通知や身に覚えのない取引を見つけた場合は、落ち着いて公式ルートから確認してください。慌ててメールやSMSのリンクを押すと、さらに偽サイトへ誘導されるおそれがあります。
まず公式ルートから証券会社の窓口を確認する
不審な点がある場合は、証券会社の公式サイトや公式アプリから問い合わせ窓口を確認してください。メール本文やSMSに書かれた電話番号・リンクをそのまま使うのではなく、公式サイト上の連絡先を確認することが大切です。
金融庁も、口座に不審な点があった場合には各証券会社等のお問い合わせ窓口へ確認するよう案内しています。必要に応じて、金融庁金融サービス利用者相談室などの公的な相談先を確認することもできます。
パスワード変更・認証設定・取引履歴を確認する
不審なログインや取引に気づいたら、まず取引履歴、出金設定、登録情報、ログイン履歴を確認します。あわせて、パスワードの変更や多要素認証の設定状況も見直してください。
ただし、偽サイトに情報を入力した直後など、不安が強い場合は、自己判断で操作を続けるよりも、公式窓口へ連絡して指示を確認する方が安全です。
不審なSMS・メール・URL・取引画面は記録しておく
相談するときのために、不審なSMSやメール、表示されたURL、取引画面、通知の日時などを記録しておくと説明しやすくなります。スクリーンショットを保存する場合は、個人情報や口座情報の取り扱いに注意してください。
フィッシング対策協議会の月次報告でも、フィッシング報告は継続して多く寄せられており、証券系フィッシングも注意が必要な分野として確認できます。最新の傾向は随時変わるため、公式情報を確認する習慣を持っておきましょう。
よくある質問(FAQ)
証券会社から届いたSMSリンクは開いても大丈夫ですか?
原則として、SMSやメール本文のリンクからログインしない方が安全です。確認が必要な場合は、公式アプリ、事前に登録したブックマーク、または証券会社の公式サイトからアクセスしてください。
パスキーを設定すれば証券口座は完全に安全ですか?
パスキーは安全性を高める有力な認証方式ですが、完全にリスクがなくなるわけではありません。公式ルートから設定すること、スマホ本体を最新状態に保つこと、不審な通知に早く気づけるようにすることも大切です。
ワンタイムパスワードを使っていても不正アクセスされますか?
ワンタイムパスワードを使っていても、偽サイトに入力してしまうと悪用される可能性があります。認証コードを入力する前に、公式アプリやブックマークから開いた正しい画面か確認してください。
証券会社の公式アプリかどうかはどう確認しますか?
証券会社の公式サイトからアプリストアへの案内を確認するのが安全です。検索結果や広告、SMSリンクだけを頼りにインストールせず、提供元名や公式サイトの案内と照合してください。
身に覚えのない取引を見つけたら最初に何をしますか?
まず、SMSやメールのリンクは開かず、公式アプリまたはブックマークから口座を確認します。そのうえで、証券会社の公式サイトに掲載された問い合わせ窓口へ連絡し、取引履歴・認証設定・登録情報の確認を進めてください。
まとめ:証券口座の不正アクセス対策はスマホの確認ルートから見直そう
この記事では、証券口座の不正アクセス対策として、スマホで安全に確認するための基本を解説しました:
- SMSやメールのリンクからログインしない:見覚えのある送信者名でも、本物の証券会社とは限りません。
確認が必要な場合は、公式アプリやブックマークからアクセスしましょう。
- 公式アプリ・ブックマーク・公式サイトを使う:毎回同じ安全ルートを使うことで、偽サイトに入るリスクを下げやすくなります。
ブラウザ利用時は、正しいURLを事前に保存しておくのがおすすめです。
- パスキーや多要素認証を確認する:利用中の証券会社がパスキーなどを提供している場合は、公式案内を確認して設定しましょう。
ログイン時だけでなく、取引時・出金時・登録情報変更時の認証も確認しておくと安心です。
- ワンタイムパスワードだけに頼りすぎない:偽サイトに入力してしまうと、ワンタイムパスワードでも悪用される可能性があります。
認証コードを入力する前に、公式ルートから開いた画面か確認してください。
- 不審なログインや取引は早めに公式窓口へ確認する:自己判断で操作を続けず、証券会社の公式サイトに掲載された窓口から確認しましょう。
不審なSMSやメール、通知、取引画面は、相談時に説明できるよう記録しておくと役立ちます。
証券口座の防犯では、難しい知識よりも「リンクを開かない」「公式ルートで確認する」「認証と通知を見直す」という基本を続けることが大切です。まずは、普段使っている証券会社の公式アプリやブックマーク、パスキー対応状況を確認してみてください。
