急増する金融犯罪の手口をFC3マトリクスで読み解く（3）～「口座乗っ取り（証券）」編

金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の齋藤です。
FC3では金融機関の利用者や顧客を守ることを目的に、日々さまざまな金融犯罪への対策に取り組んでいます。

ニュースを賑わせる不正送金など巧妙化する金融犯罪の多くは、実はある程度限られた型の組み合わせで成り立っていることが多くあります。本連載では、こうした金融犯罪の手口をFC3マトリクスで体系的に捉え、対策の検討にどのように活用できるのかについて、事例を交えながら全6回で解説していきます。第3回の今回は、「口座乗っ取り（証券）」についての考え方を解説します。

なお、第1回、第2回では、FC3マトリクスそのものの考え方や他手口をテーマに解説しています。ぜひ、ご覧ください。

「口座乗っ取り（証券）」とは

本記事で解説する「口座乗っ取り（証券）」とは、個人の証券口座の認証情報を詐取し、乗っ取った口座で一斉に株の売買を行い、株価の操作とそれに伴う利益を得る手口です。

具体的な手口として、まず犯罪者は、出来高が少なく価格が動きやすい流動性の低い銘柄を、あらかじめ安値で買い集めます。次に、フィッシングやリアルタイムフィッシングによって窃取した被害者の認証情報を用いて証券口座を乗っ取り、被害者が保有している株式や投資信託などを売却して、被害者の口座内で新たな買い注文に利用できる買付余力を確保します。その後、犯罪者は被害者口座の資金を用いて、事前に買い集めておいた低流動銘柄に対して大量の買い注文を発注し、市場価格を急激に押し上げます。株価が十分に上昇した段階で、犯罪者があらかじめ保有していた同一銘柄を売却することで利益を得ます。これは、いわゆる相場操縦と口座乗っ取りを組み合わせた巧妙な手口です。

その結果、被害者の口座には高値で購入させられた流動性の低い株式が大量に残ります。これらの銘柄は取引量が少ないため買い手がつきにくく、売却が困難であるうえ、価格が元の水準に戻る、あるいは急落する可能性が高いため、最終的に被害者には大きな損失が発生します。

本手口による不正な売買総額は約8,155億円（2026年5月現在）に上っています。各証券会社では、ログインに多要素認証の必須化やパスキーの導入など本人認証の強化が進み、被害が大きく減少したものの、2026年4月においても、約146億円の不正売買（約74億円の不正売却、約72億円の不正買付）が行われており、依然として億を超える被害が発生しています。

次章では、この「口座乗っ取り（証券）」について、FC3マトリクスを用いることで犯罪者の手口がどのように整理できるのかを具体的に見ていきましょう。

「口座乗っ取り（証券）」におけるFC3マトリクス

FC3マトリクスでは、金融犯罪における攻撃の流れを犯行の準備から実行、資金化に至るまで段階ごとに分解し、「リソース準備」「偽装コミュニケーション」「不正ログイン」「追加認証突破」「不正取引実行」「資金化」といった複数のフェーズで整理しています。犯罪者は、これらの各フェーズにおける手口を単独で用いるのではなく、複数を組み合わせることで攻撃を成立させています。そのため、特定の手口や個別の対策のみを切り出して議論するのではなく、攻撃全体の流れを俯瞰し、どのフェーズにどのようなリスクが存在するのかを把握することが重要です。

実際のFC3マトリクスの「口座乗っ取り（証券）」の手口は、以下の図のような構造です。FC3マトリクスは犯罪ライフサイクルに沿って、「不正の開始（リソース準備・偽装コミュニケーション・不正ログイン）」から、「不正取引の実行（追加認証突破・不正取引実行）」、「犯罪収益の捻出（資金化）」の各段階において、犯罪者がどのようなアクションを取るのかを整理しています。「口座乗っ取り（証券）」の手口であれば、犯罪者が橙色でハイライトした項目のアクションを実行することを示しています。

なりすまし犯罪者が株を売買

FC3マトリクスに基づき、「口座乗っ取り（証券）」における犯罪の流れを見ていくと、本手口特有のアクションが確認できます。

まず、「リソース準備」の段階で「金融資産の購入」、「資金化」の段階で「金融資産の売却」を行うことが分かります。銀行口座の乗っ取りの手口では、なりすまされた口座の資金を直接出金したり、犯罪者の口座（マネーミュール口座）に送金したり、電子マネーや暗号資産等の資産に変えるなど資金化するアクションがあります。一方、「口座乗っ取り（証券）」の手口では、なりすまされた口座以外の目の届き難い口座で、金融資産を売買して犯罪収益を獲得しています。

また、その犯罪収益を最大化するために、「不正取引の実行」のフェーズでは、「なりすまし犯罪者が株の売買」を行うことが分かります。犯罪者の口座や、なりすまされた口座では、通常行われないような銘柄や直近で不審な動きをしている銘柄への取引が行われるため、これら株取引を検知できることが理想的といえます。

しかし、このフェーズの対策は容易ではありません。売却や買付といった操作そのものは証券会社が提供する正規機能を利用して行われるため、個々の取引だけを見れば通常の投資活動と区別がつきません。また、取引のタイミングや銘柄の選定についても、個々の取引単位では不自然さが目立たないケースが多くあります。そのため、通常の投資行動と区別することが難しく、犯罪者による株式売買そのものを直接的に検知・抑止することは困難です。

FC3マトリクスを用いた対策検討

「なりすまし犯罪者が株の売買」を軸にFC3マトリクスを参照しながら対策について考えてみましょう。

不正取引の実行フェーズにおいての対策としては、不正アクセスされた証券口座での不審な売買の検知が考えられます。また、株式売買のタイミングに着目した対策として、リソース準備フェーズにおける犯罪者による株式の準備段階における不審な買付（突然の流動性の低い銘柄への大量注文）の検知や対処も有用でしょう。しかし、これらの対策は容易ではありません。そのため、株式の売買そのものに着目するだけでなく、その前後のフェーズを含めて対策を検討することが重要になります。

FC3マトリクスを参照すると、不正取引の実行フェーズの前に、不正の開始フェーズにあたる「フィッシング」が存在します。この犯罪アクションを対策することでも「口座乗っ取り（証券）」の防止につながります。「口座乗っ取り（証券）」における「フィッシング」対策としては、特定のデバイスからのログインのみを許可する設定や、アクセスを試行している利用者の手元に認証端末が存在することが確認できる形式のパスキーによる認証方式などが挙げられます。

さらに、利用者への継続的な注意喚起や、利用者が誤ってアクセスしてしまうフィッシングサイトを速やかに検知・停止させるといった取り組みも重要です。ほかにも、不正ログインのフェーズや資金化のフェーズの各アクションに対して対策を行うことで、さらに被害を低減することが可能でしょう。

このようにFC3マトリクスを用いることで、断片的な事例に対する対策だけでなく、犯罪フロー全体を通じた攻撃者の行動を俯瞰的に捉えることができます。その結果、複数のフェーズにまたがる攻撃手口のつながりや、防御上の弱点を把握しやすくなり、どこで攻撃を阻止すれば被害を最小化できるかという観点から、より効果的な対策を検討できるようになります。

さいごに

今回の記事では、FC3マトリクスを用いて「口座乗っ取り（証券）」の手口を整理し、犯罪者の犯行をどのように捉えられるのか、そして対策の検討方法を解説しました。

近年のサイバー犯罪は、一つの攻撃手法だけで成立することは少なく、フィッシングや不正ログイン、資金化など複数の手口が連鎖して被害につながります。そのため、個別の対策だけではなく、犯罪全体の流れを理解することが重要です。FC3マトリクスを活用することで、自社の対策がどのフェーズに偏っているのか、どこに防御の空白があるのかを可視化できます。また、どの段階で攻撃を阻止できれば被害を防げるのかという視点から、対策の優先順位を整理することも可能になります。

今後の連載でも、近年大きな被害をもたらしている金融犯罪をメインに、さまざまな手口についてFC3マトリクスを用いて解説していきます。次回は、「投資詐欺・ロマンス詐欺」を取り上げ、手口の整理や対策の考え方についてご紹介する予定です。ぜひご期待ください。