ビジネスジャーナル > 経済ニュース > 証券口座の不正アクセス1.8万件超

証券口座の不正アクセス1.8万件超…金融庁が「生体認証」を義務化した本当の理由

2026.07.07 05:55 2026.07.06 23:17 経済
文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント

証券口座の不正アクセス1.8万件超…金融庁が「生体認証」を義務化した本当の理由の画像1

導入:なぜ今、証券口座に「顔」と「指紋」が必須になるのか

●この記事のポイント
金融庁と日本証券業協会が2025年10月、証券口座の不正アクセス(2025年通期で約1.8万件)を受け生体認証必須化の新指針を適用。ネット証券79社が対応表明、2026年6月末が導入期限。FIDO2規格のパスキー技術やeKYC、AI不正検知など関連企業への波及も解説する。

 日本の証券業界は本人確認の仕組みを巡る大きな転換点を迎えている。金融庁と日本証券業協会(日証協)は、証券口座の乗っ取りによる不正な株式売買が相次いだことを受け、指紋や顔などの生体認証を用いた「パスキー」やPKI(公開鍵基盤)といった高度な認証方式を、ネット取引を提供する証券会社に義務付ける指針を適用した。

 なぜ、これまで「安全」とされてきたパスワードやSMS認証では資産を守れなくなったのか。そして、この変化はどのようなビジネスインパクトをもたらすのか。規制の中身と、その裏で存在感を増す企業群を整理する。

●目次

なぜ「パスワード」は敗北したのか

 金融庁によると、オンライン証券口座への不正アクセスは2025年の1年間で約1万8000件に上った。被害は2025年4月をピークに減少したものの、2026年5月時点でも月間194件が確認されており、依然として収束していない。

 被害の主な手口は「リアルタイムフィッシング」と呼ばれるものだ。日証協の注意喚起によれば、証券会社を装った偽メールやSMSで利用者を偽サイトに誘導し、ID・パスワードを入力させた直後、さらに偽のワンタイムパスワード画面へ誘導して、入力された認証コードを即座に悪用し口座を乗っ取るという手口が拡大している。この方式は、従来「二段階で安全」とされてきたSMSによるワンタイムパスワード認証すら、入力の瞬間に横取りされてしまえば意味をなさないという弱点を突くものだ。

 この構造的な弱点を克服する切り札として位置付けられているのが、FIDO2規格に準拠した「パスキー」認証である。スマートフォンなど手元のデバイス内で指紋や顔を照合し、サーバー側には秘密鍵に基づく署名情報しか送らない仕組みで、ログインのたびにパスワードそのものを「入力する」という行為自体をなくす点に本質的な意味がある。パスワード文字列を盗まれても再利用できない設計であるため、フィッシングによる不正ログインを構造的に防げるとされる。

規制の中身と、企業が抱える「安全」と「面倒」のジレンマ

 金融庁と日証協は2025年10月、証券会社に適用する監督指針とガイドラインをそれぞれ改正し、ログイン時や出金時の生体認証を含む高度な多要素認証の必須化を明記した。運用開始は2025年10月からで、証券各社には2026年6月末までのパスキー導入が促されている。日証協によれば、ネット取引を提供する会員証券会社のうち8割を超える79社が必須化に対応する意向を示しており、対面型の大手証券5社やSBI証券、楽天証券などは2026年7月上旬までに全取引手段での対応を完了させたという。

 もっとも、規制強化は各社に軽くないコスト負担を強いる。大手証券のIT担当役員は、犯罪の手口が高度化し続ける以上、対策と攻撃の「いたちごっこ」は今後も続くと指摘しており、生体認証システムの構築には数億円規模、運用にも年間で億円単位の費用がかかるとの見方がある。実際、ある中堅証券幹部は自社単独での対応の難しさを漏らしており、ネット取引に新規参入する動機が薄れたと語る中堅証券もあるとされる。

 サイバーセキュリティコンサルタントの新實傑氏は「認証を強化するほど顧客の離脱リスクも高まる。企業にはフリクションレス、つまり利用者が意識せずに安全性を得られる体験設計が求められる」と指摘する。

 利用者側の理解も課題だ。楽天証券の楠雄治社長は、必須化できるものなら実施したいとしつつ、パスキーの設定操作ができない顧客が一定数残る現実的な難しさに言及している。同社では2025年12月末時点でNISA口座が699万に達しており、数百万単位の顧客に一斉移行を強いることの難しさがうかがえる。生体情報はパスワードと違って漏洩後に「変更」ができないため、情報がデバイス外に送信されない設計であるかどうかを利用者が正しく理解できるよう、各社が分かりやすく周知することが今後の普及の鍵を握る。

「生体認証特需」に沸くのは誰か

 規制対応の実務は、外部の認証技術ベンダーとの連携によって進んでいる。SMBC日興証券は2026年1月、富士通が提供するFIDO2準拠のパスキー認証サービスを導入し、個人顧客向けオンライン取引での運用を開始した。約5カ月という短期間での導入は、既存のSDK(ソフトウェア開発キット)を活用した外部連携の実効性を示す事例といえる。野村證券はさらに一歩進め、2026年3月からパスキーの新規・再登録時にマイナンバーカードによる公的個人認証を組み合わせる仕組みを導入し、パスキー登録自体を乗っ取られるリスクへの多層防御を図っている。

 こうした動きは証券業界に限った話ではない。市場調査によれば、世界の生体認証システム市場は2026年に365億7000万ドル規模と推計され、2034年には1132億2000万ドルまで拡大する見通しで、年平均成長率は11.48%とされる。決済に特化した生体認証市場も2026年の134億8000万ドルから2034年に446億9000万ドルへと拡大する予測が示されており、金融分野での需要拡大が成長を下支えする構図が見て取れる。

「証券業界での義務化は号砲に過ぎない。今後は銀行・保険・EC決済など、なりすまし被害が起きやすい業種へ確実に波及していく」(新實氏)

 独自でシステムを構築できない中小の金融機関からは、外部ベンダーへの導入委託やライセンス需要が今後さらに増える可能性がある。また、パスキー再登録時の本人確認を担うeKYC事業者や、ログイン後の「普段と異なる取引挙動」をAIで検知する不正検知システムの需要も、証券業界の対応進展に伴って高まっていくとみられる。

パスワードレス社会への移行は始まったばかり

 カウリスの島津敦好社長は、生体認証の必須化は口座乗っ取り防止に有効だとしつつ、証券会社側が疑わしいアクセスを主体的に排除する監視体制の強化と両輪で整備する必要があると提起している。生体認証は万能の解決策ではなく、あくまで多層的な防御の一部という位置づけだ。

 今回の証券業界の対応は、一業界のセキュリティ強化にとどまらず、日本社会全体でパスワードレスへの移行を後押しする契機になり得る。企業にとっては、安全性と利便性のバランスを取れるかどうかが顧客からの信頼を左右する分水嶺となる。投資家にとっても、この変化は単なる「面倒な設定変更」ではなく、認証技術や関連インフラを担う企業群の存在感が増していく過程として捉える視点が、今後の情報収集において役立つはずだ。

(文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント)

BusinessJournal編集部

Business Journal

ポジティブ視点の考察で企業活動を応援 企業とともに歩む「共創型メディア」

X: @biz_journal

Facebook: @bizjournal.anglecreate

ニュースサイト「Business Journal」

公開:2026.07.07 05:55