2025年に日本を震撼させた証券口座大規模乗っ取り事件。フィッシング詐欺でログイン情報を盗み、乗っ取った口座を相場操縦に利用する「ハック・パンプ・アンド・ダンプ」手口で、年間不正売買額は7,393億円に達した。NISAブームで投資を始めた個人投資家が標的になった前代未聞の事件の全貌と対策を解説する。
目次
事件サマリー
| 項目 | 内容 |
|---|---|
| 不正売買額(2025年) | 7,393億円(売却+買付合計) |
| 不正アクセス件数(2025年1月〜2026年2月) | 18,193件 |
| 不正取引件数(同期間) | 10,112件 |
| 被害証券会社 | 大手10社すべて(楽天・SBI・野村・大和・SMBC日興・マネックス・松井・三菱UFJモルガン・みずほ等) |
| 最大被害月 | 2025年4月(月間3,000億円超・不正アクセス5,000件超) |
| 手口の呼称 | ハック・パンプ・アンド・ダンプ(Hack, Pump and Dump) |
| 逮捕・起訴 | 中国籍の男(林欣海被告・38歳)ら、2025年11月逮捕・12月起訴 |
| 判決 | 2026年3月23日 懲役3年・執行猶予5年・罰金400万円・追徴金7,807万円 |
事件の構図:3段階の「組織犯罪」
第1段階:フィッシングで認証情報を盗む
犯行グループは実在する証券会社(楽天証券、SBI証券、野村証券など)を装った偽サイトを大量に作成し、メールやSMSで誘導。被害者がIDとパスワードを入力すると、リアルタイムで情報を窃取する「リアルタイム型フィッシング(中間者攻撃)」の手口が使われた。これによりワンタイムパスワードによる2段階認証も突破された。フィッシングキット「CoGUI」を使った組織的な攻撃も確認されており、闇サイトでは証券口座のIDが10万件以上流通していたとも報じられた。
第2段階:口座を乗っ取り株式を売却
盗んだ認証情報で被害者の証券口座に不正アクセス。口座内の株式を勝手に売却し、資金を捻出する。注目すべきは「出金被害がない」点で、これが通常の金融詐欺と大きく異なる構造だった。現金が消えるわけではないため被害に気づきにくく、発見が遅れるという二重の罠が仕掛けられていた。
第3段階:低位株を買い付け株価を吊り上げる(相場操縦)
売却代金で、犯行グループが事前に仕込んでいた低位小型株(東証スタンダードの流動性が低い銘柄)を大量に買い付ける。複数の乗っ取り口座から一斉に買い注文を入れることで株価を人工的に吊り上げ(パンプ)、高値でグループが別途保有していた株を売り逃げる(ダンプ)。被害者の口座には値上がりした株の代わりに価値が下落した低位株だけが残る。証券取引等監視委員会関係者は「これほど大量に乗っ取られた例は記憶にない」と語った。
事件の経緯
- 2025年1月:不正アクセスが始まる(当初は件数65件・2社のみ)
- 2025年3月下旬:楽天証券が被害を公表。中国株11銘柄の買い注文を停止、後に582銘柄に拡大
- 2025年4月5日:野村証券・SBI証券など5社以上で被害確認と報道。警察が情報収集開始
- 2025年4月18日:金融庁が被害状況を公表(2〜4月16日で不正取引1,454件・約954億円)
- 2025年4月:月間不正アクセス件数5,000件・不正売買額3,000億円超のピークに
- 2025年5月:みずほ証券でも被害発覚。主要証券会社10社すべてが被害を確認
- 2025年5月31日:警視庁が捜査開始。一部は中国が発信元との報道
- 2025年6〜7月:各社が補償方針を決定。野村・大和・SMBC日興・みずほ・三菱UFJモルガンが不正売却株の返還を表明
- 2025年7月29日:SBI証券が80億円、楽天証券が10.58億円、松井証券が2.74億円の特別損失を計上
- 2025年10月:日本証券業協会がパスキー(FIDO認証)ガイドラインを改定。大手10社が導入を決定
- 2025年11月28日:警視庁などの合同捜査本部が中国籍の男2人(林欣海・38歳、江榕・42歳)を逮捕。事件発覚後初の逮捕
- 2025年12月18日:証券取引等監視委員会が林欣海と関連法人を刑事告発
- 2025年12月19日:東京地検特捜部が林欣海と貴金属輸入会社「L&H」を相場操縦の罪で起訴。江榕は嫌疑不十分で不起訴
- 2026年2月17日:初公判。被告は起訴内容を認める。検察は懲役3年6ヶ月・罰金400万円・追徴金7,807万円を求刑
- 2026年3月23日:東京地裁が有罪判決(懲役3年・執行猶予5年・罰金400万円・追徴金7,807万円)
- 2026年3月26日:岡三証券がセキュリティ対策費を理由にネット取引事業をSBI証券へ譲渡すると発表
- 2026年4月現在:首謀者グループの全容解明は継続中。被害総額の大半は補償未完了
なぜ「セキュリティに自信あり」の投資家も被害に遭ったのか
1. ワンタイムパスワードを突破する「リアルタイム型フィッシング」
従来のフィッシング詐欺はIDとパスワードを盗むだけだったが、今回の手口はさらに進化していた。被害者が偽サイトに情報を入力すると、攻撃者がリアルタイムで本物の証券サイトにログインを試み、表示されるワンタイムパスワードの入力も偽サイト経由で要求する「中間者攻撃(MITM)」が使われた。これによりワンタイムパスワードによる2段階認証も突破された。
2. インフォスティーラーによるマルウェア感染も経路のひとつ
著名個人投資家のテスタ氏は「ウイルス対策ソフトを二重に入れ毎日スキャンしていた」にもかかわらず被害に遭ったことを公表した。専門家はフィッシングに加え、認証情報を専門的に抜き取る「インフォスティーラー型マルウェア」感染も経路として指摘している。セキュリティ意識の高いプロ投資家でさえ被害を防げなかったという事実が業界に衝撃を与えた。
3. 被害の気づきが遅れる構造
通常の詐欺と異なり「現金の出金がない」ため、口座の株が消え代わりに見知らぬ外国株や低位株が残るという状態で初めて異変に気づくケースが多く、「老後の資金が1,400万円の損失」といった被害者の声が報道された。取引通知を確認しない習慣がある投資家は発見が特に遅れた。
同じ被害に遭わないためのチェックリスト
- 今すぐ実行:パスキー(FIDO認証)の設定 メールや電話番号でのワンタイムパスワードより強固。大手10社は導入済みまたは導入予定
- メール・SMSのリンクは絶対にクリックしない「不正ログインを検知」「本人確認が必要」などの緊急性を煽る文面は詐欺の典型的手口
- 証券会社のサイトはブックマークからのみアクセス 検索結果やリンクからアクセスすると偽サイトへ誘導されるリスクがある
- 定期的に取引履歴・保有銘柄を確認する 見覚えのない株式が保有されていたら即座に証券会社へ連絡
- 取引通知・ログイン通知をすべて有効にする 不審な動きをリアルタイムで検知できる
- PCのOSとセキュリティソフトを常に最新に保つ インフォスティーラー感染を防ぐ基本対策
よくある質問(FAQ)
Q. 口座が乗っ取られた場合、損失は補償されますか?
各証券会社の方針にばらつきがあり、一律の補償制度は存在しません。野村・大和・SMBC日興・みずほ・三菱UFJモルガンの対面大手5社は不正売却株の返還方針を表明しました。SBI証券は80億円、楽天証券は10.58億円を特別損失として計上し補償を進めています。ただし手続き・補償範囲・条件は各社で異なり、補償を受けられないケースもあります。被害に遭ったらまず証券会社に連絡し、書面で申告することが重要です。
Q. NISAや積立投資口座も狙われますか?
はい。NISA口座を含むすべてのオンライン証券口座が対象です。NISA口座は年単位でしか移管できないため、口座乗っ取り後の対応がより困難になります。多要素認証の設定は特定口座・NISA口座を問わず全口座で設定することをお勧めします。
Q. なぜ中国籍の逮捕者が「実行役」で首謀者は捕まっていないのですか?
判決文では「被告が共犯者に利用された側面も否定できない」と指摘され、執行猶予付きで結審しています。フィッシングサイトの作成・ID窃取・口座提供・売買実行などの役割が分業された組織犯罪で、海外拠点の首謀者グループの特定・逮捕には国際捜査が必要です。警視庁は「発信元の一部は中国」とみて捜査を継続しています。
Q. 「CoGUI」とは何ですか?
日本のユーザーを標的とした高機能フィッシングキットです。楽天・Amazon・PayPay・国税庁・各証券会社などを精巧に模倣した偽サイトを大量生成できるツールで、セキュリティ企業Proofpointが存在を確認しました。偽サイトの構成要素に中国語の簡体字が隠されていたことも報告されています。
Q. 岡三証券がネット取引から撤退したのはなぜですか?
2026年3月、岡三証券はネット取引事業をSBI証券へ譲渡すると発表しました。今回の乗っ取り事件への対策として求められるセキュリティ強化(パスキー導入・システム改修等)のコストが事業採算に合わなくなったためとされています。業界全体のセキュリティ強化コストが中小証券会社の経営を圧迫するという副次的な問題が浮き彫りになりました。
被害に遭った・疑いがある場合の相談先
- 各証券会社のお問い合わせ窓口(取引停止・パスワード変更を依頼)
- 金融庁 金融サービス利用者相談室:0570-016-811(平日10〜17時)
- 警察相談専用窓口:#9110(サイバー犯罪・不正アクセスの相談)
- 日本証券業協会:https://www.jsda.or.jp/
関連事件・類似手口
本件はSNS型投資詐欺とは異なり、被害者が投資詐欺の存在を認識しないまま口座を悪用されるという新しいタイプの詐欺犯罪だ。仮想通貨取引所DMMビットコインの482億円不正流出事件(2024年)と並び、日本の金融インフラへのサイバー攻撃として最大規模に位置づけられる。また、乗っ取りに使われた口座を提供した「実行役」を闇バイトで募集する手口はオレオレ詐欺グループとの構造的な類似点がある。
編集部コメント
7,393億円という被害額は、2024年のSNS型投資詐欺・ロマンス詐欺の合計被害1,271億円を大幅に上回る規模だ。しかし「現金が消えない詐欺」という特性から、社会的な警戒が後手に回った。2026年3月の有罪判決は事件の一部に過ぎず、首謀者グループの実態はいまだ不明だ。NISAを通じて新たに投資を始めた数百万人のユーザーがオンライン証券口座を持つ中、本件は「投資詐欺は騙されやすい人の話」という思い込みを覆す事件として、すべての個人投資家が理解すべき事案である。
