2025年、ネット証券(インターネットで株や投資信託を売買できる証券会社)の口座が、知らないうちに乗っ取られる事件が一気に増えました。
自分の口座で、見覚えのない中国株などが勝手に売買される。気づいたときには資産が溶けている。そんな被害が、2025年だけで1万7千件を超えました。
「投資を始めたばかりなのに、いきなりこれか」と不安になった方も多いと思います。
でも、安心してください。守り方はそれほど難しくありません。しかも、ほとんどお金はかかりません。
この記事では、私が実際にやっている「お金をかけない守りの土台」を、3つに絞って解説します。結論から言うと、有料のセキュリティソフトは要りません。その代わりに、本当に効くものだけにしぼります。
結論:守りの土台は3つだけ。お金はほぼかからない
先に答えを出します。資産を守るために最低限やるべきことは、次の3つです。
1. パスワードを「管理アプリ」に任せる(覚えるのは1つだけ)
2. 2段階認証とパスキーを、すべての口座でオンにする
3. 怪しいものを入れない・押さない(=有料セキュリティソフトは不要)
この3つで、乗っ取り被害のほとんどは防げます。かかるお金は、パスワード管理アプリの月600円ほどだけです。
私は投資を18年続けています。その中で学んだのは、守りも投資と同じで「何にお金をかけ、何にかけないか」の規律が大事だということです。高いものを買えば安心、ではありません。
なぜ乗っ取られたのか|2025年に何が起きたか
まず、敵を知ることから始めます。なぜこれほど被害が増えたのでしょうか。
金融庁の集計によると、2025年の証券口座への不正アクセスは1万7,559件、勝手に売買された金額は7,393億円にのぼりました。特に4月がピークで、その1か月だけで不正アクセスは5,000件、不正売買額は3,000億円を超えています。
原因は「偽サイト」と「パスワードの使い回し」
乗っ取りの入り口は、ほとんどがフィッシングです。フィッシング(本物そっくりの偽サイトに誘い込み、ログイン情報を盗む詐欺)にだまされて、自分でIDとパスワードを打ち込んでしまうのです。
メールやSMSで「ログインを確認してください」と送られてくる。あわてて開くと、見た目は本物の証券会社。そこに入力した瞬間、情報が犯人に渡ります。
さらに被害を広げたのが、パスワードの使い回しです。1つのサイトから漏れたパスワードを、犯人は他のサイトでも試します。同じパスワードを使い回していると、芋づる式に破られます。
つまり、犯人は高度なハッキングをしているわけではありません。「人のうっかり」と「使い回し」という、防げる穴を突いているだけなのです。
大手はもう動いた|パスキー導入。でも設定は自分でやる
被害の急増を受けて、証券業界は一斉に対策を打ちました。それが「パスキー」の導入です。これは一部の大手だけの話ではありません。証券会社58社が、フィッシングに強い多要素認証を必須にする方針で、いまや業界全体の動きになっています。
パスキー(指紋や顔認証でログインする、パスワードを使わない新しい仕組み)は、フィッシングに非常に強いのが特長です。偽サイトでは、そもそも認証が成立しません。
技術的にはFIDO2(フィッシングに耐性のある国際的な認証規格)という仕組みが使われています。日本証券業協会も2025年10月にガイドラインを改め、フィッシングに強い認証を実質的に必須としました。
| 証券会社 | パスキー導入日 | 備考 |
|---|---|---|
| 野村證券 | 2025年10月18日 | オンライン・アプリに導入 |
| SBI証券 | 2025年10月25日 | 乗っ取り急増への対応 |
| 楽天証券 | 2025年10月26日 | ネット証券で初の全チャネル対応 |
| マネックス証券 | 2025年10月31日 | 総合口座ログインに導入 |
| 松井証券 | 2026年3月28日 | 全チャネルのログインに導入 |
| 大和証券 | 2026年4〜6月 | 段階的に必須化 |
ここで大事な注意点があります。会社が仕組みを用意しても、設定するのは自分です。パスキーは、自分でオンにして初めて効きます。多くの人が「会社がやってくれた」と勘違いして、設定しないまま放置しています。
このあと、その設定を含めた「守りの土台3つ」を順に解説します。
守りの土台①|パスワードは管理アプリに任せる
1つ目の土台は、パスワード管理です。これが一番効きます。
なぜなら、乗っ取りの最大の原因が「使い回し」だからです。これを解決すれば、被害の大半は防げます。
覚えるのは「1つ」だけでいい
「全部のサイトで違うパスワードにしろ」と言われても、覚えられません。私も無理です。
そこで使うのが、パスワードマネージャー(複雑なパスワードを自動で作り、金庫のように保管してくれるアプリ)です。私は1Password(ワンパスワード)という定番のアプリを使っています。
仕組みはシンプルです。各サイトのパスワードはアプリが自動で作り、覚えてくれます。私が覚えるのは、その金庫を開けるマスターパスワード(親となるパスワード)1つだけです。
1Passwordには、さらに「Secret Key(シークレットキー)」という長い鍵もあります。これは端末に保存される追加の鍵で、万が一マスターパスワードが漏れても、これがないと金庫は開きません。二重のロックです。
料金は月600円ほど。買い切り版もある
気になる料金です。1Passwordは2026年3月に値上げされ、個人プランは年間約47.88ドル、月あたり約3.99ドル(およそ600円弱)になりました。家族5人まで使えるファミリープランは年間約71.88ドル、月あたり約5.99ドル(およそ900円弱)です。
「サブスク(毎月払い)は嫌だ」という方には、日本の販売代理店ソースネクスト経由で買える3年版という選択肢もあります。3年使い切りで、個人版が12,800円ほどです。
月600円を高いと感じるかもしれません。ですが、7,393億円が消えた世界で、資産を守る保険と考えれば安いものです。
私が使っているパスワード管理アプリ
1Password — 私が毎日使っている主力です。覚えるのはマスターパスワード1つだけ。証券口座を持つなら、まずこれを入れてください。公式サイトなら14日間、無料でお試しできます(クレジットカードの登録も不要です)。
※1Passwordは私が純粋におすすめするもので、紹介報酬は受け取っていません。最新の料金は公式サイトでご確認ください。
では、そのパスワードは「何文字」で、どう作るのが正解なのでしょうか。じつは長さの目安は、近年アメリカやドイツなどの公式基準で大きく変わりました。結論だけ言うと、意味のない英数字をランダムに16文字で、もう十分です。
守りの土台②|2段階認証とパスキーは全口座でオンに
2つ目の土台は、2段階認証とパスキーです。これは「お金がかからないのに最強」の対策です。
2段階認証(ログイン時に、パスワードに加えてもう1つの確認を求める仕組み)をオンにすると、パスワードが盗まれても、それだけでは入れなくなります。
証券口座は「指紋・顔」のパスキーを必ず設定
前の章で書いたとおり、主要な証券会社はこぞってパスキーを導入しました。これを使わない手はありません。
設定すると、ログインがスマホの指紋認証や顔認証になります。パスワードを打つより速く、しかも安全です。偽サイトには、そもそも認証が通りません。
やることは1つ。自分の証券口座の設定画面を開き、パスキーをオンにする。これだけです。5分で終わります。今日やってください。
パスキーが無いサービスは、SMSより「認証アプリ」
すべてのサービスがパスキーに対応しているわけではありません。パスキーが使えない場合の「2番手」が、認証アプリです。
認証アプリとは、ログイン用の6桁の確認コードを表示してくれるアプリのことです。代表的なのは「Google 認証システム(Google Authenticator)」や「Microsoft Authenticator」で、どちらも無料です。まずはこの無料アプリで十分です。
なお、パスワード管理で使う1Passwordにも、この認証コード機能が内蔵されています(こちらは有料プランで利用可能)。すでに1Passwordを使っている方なら、認証アプリを別に増やさず、パスワードと6桁コードを1つにまとめられて便利です。無料で済ませたい方は、GoogleやMicrosoftの無料アプリを選べば問題ありません。
使い方は、慣れれば簡単です。
- 最初の1回だけ:サービスの設定画面に表示されるQRコードを、アプリのカメラで読み取ります。
- すると、アプリに6桁の数字が表示され、30秒ごとに自動で変わります。
- ログインのとき、パスワードに加えて、その時点の6桁を入力します。
なぜSMSより安全なのでしょうか。SMSは、電話番号を乗っ取られる「SIMスワップ」という手口で、確認コードが犯人に届いてしまう弱点があります。一方、認証アプリのコードはあなたのスマホの中だけで作られるので、その弱点がありません。費用もゼロ。無料アプリを1つ入れるだけです。
認証方法は「だまされにくさ」で選ぶ
ここで、認証方法の強さを整理します。じつは、ここに大事な落とし穴があります。
SMSや、認証アプリの6桁コードは、SMSよりは安全ですが、「偽サイトにだまされる」攻撃には弱いのです。あなたが偽サイトに6桁を打ち込むと、犯人がその場で本物のサイトに横流しして、突破されることがあります。
一方、パスキーは、本物のサイトのURLとひも付いています。偽サイトでは、そもそも認証が起動しません。「番号を読んで打ち込む」方式は、だまされる隙がある。パスキーは、その隙がない。これが決定的な差です。
| 認証方法 | 仕組み(かんたんに) | 偽サイトに強い? | 強さ |
|---|---|---|---|
| パスワードだけ | 合言葉ひとつ。バレたら誰でも入れる | ✕ | ★☆☆☆☆ |
| SMS認証 | 電話に届く番号。番号を乗っ取られると届く | ✕ | ★★☆☆☆ |
| 認証アプリ(6桁) | 30秒で変わる使い捨て番号。SMSより安全 | △ | ★★★☆☆ |
| パスキー(指紋・顔) | 本物のサイトにしか反応しない鍵。打ち込む番号がない | ⭕ | ★★★★★ |
だから優先順位はこうです。パスワードだけ・SMSは卒業。普通のサービスは認証アプリで十分。証券・Google・Appleなどの大事な口座は、パスキーを主役にする。これが、いちばん効率のいい守り方です。
守りの土台③|怪しいものを入れない=有料ソフトは不要
3つ目の土台は、少し意外かもしれません。有料のセキュリティソフトは、基本的に要りません。
これは私のコントラリアン(人と逆を行く)な結論です。多くの人が「とりあえず有料ソフトを入れれば安心」と考えますが、私はそこにお金をかけません。
WindowsもMacも、標準の守りで十分強い
今のパソコンには、最初から無料の守りが入っています。
Windowsには「Windows Defender(ウィンドウズ・ディフェンダー、OS標準の無料ウイルス対策)」があります。これが非常に優秀です。ドイツの第三者機関AV-TESTの2026年2月のテストでは、約1万2,700個のウイルスを使った検査で、保護・性能・使いやすさのすべてで6点満点(6/6)を取りました。マイクロソフト自身も「多くの人にはこれで十分」と説明しています。
Macにも「XProtect(エックスプロテクト)」と「Gatekeeper(ゲートキーパー、いずれもmac標準の無料の守り)」が入っています。怪しいアプリの実行を止めてくれます。
ただし、この無料の守りが力を発揮するには、1つ条件があります。OSとソフトを、常に最新の状態に保つことです。
特にWindowsの更新(アップデート)は、必ず自動更新をオンにしてください。更新には、見つかったばかりの弱点(セキュリティの穴)を、その都度ふさぐ役割があります。ここを止めてしまうと、せっかくの守りに、穴が空いたままになります。更新を後回しにしないこと。これも、お金のかからない、立派な守りです。
ただし「Macだから安全」は過信しない
ここで正直に書きます。「Macはウイルスに強いから大丈夫」という神話は、もう古いです。
Macの世界シェアは約16%まで増えました。利用者が増えれば、犯人にとっても狙う価値が出ます。実際、Macの守りXProtectの検出ルールは、2019年から2025年までで約4倍に増えました。それだけ脅威が増えた裏返しです。
つまり、OSの種類が私たちを守るのではありません。最大の守りは「怪しいメールを開かない」「知らないアプリを入れない」という習慣です。これはタダでできて、どんな有料ソフトより効きます。
これは投資の「見えない信託報酬」を嫌う規律と同じ
私が有料ソフトにお金を払わない理由は、投資の考え方とつながっています。
投資の世界では、リターンを生まないのに毎年取られる信託報酬(投資信託の運用にかかる手数料)を、私は嫌います。長期では、その小さな手数料が大きな差を生むからです。
セキュリティソフトも同じです。標準で足りるのに毎年払う費用は、「目に見えない信託報酬」のようなもの。守りの効果はほぼ変わらないのに、コストだけが積み上がります。だから私は払いません。
【上級・参考】私の本気の守り|ただし真似しなくていい
ここからは上級者向けの「参考」です。私自身が実際にやっている、もう一段上の守りを紹介します。
ただし、最初に強く言っておきます。これは真似しなくて大丈夫です。土台3つができていれば、普通の人には十分すぎる守りです。
YubiKey(物理キー)で金庫をさらに固める
私は「YubiKey(ユビキー、USBに挿す物理的な鍵)」を使っています。指で軽く触れると認証が通る、小さな鍵です。
これを1Passwordの2段階目の鍵として登録しています。正確に言うと、YubiKeyはFIDO2/WebAuthn(パスワードを使わない認証の国際規格)に対応したセキュリティキーとして登録できます。
ここは多くの解説記事が間違えるので、正確に書きます。YubiKeyは「新しい端末でサインインするときの第2の鍵」であって、「毎日アプリを開くための鍵」ではありません。日常の解錠は、マスターパスワードや指紋認証(Touch ID)で行います。
鍵は「複数登録+バックアップ」が鉄則
物理キーには弱点があります。なくしたら入れなくなることです。
だから私は、YubiKeyを複数本登録しています。1本なくしても、別の鍵で入れるようにするためです。さらに、アプリ方式の2段階認証も予備として残しています。
この「鍵は1つに頼らない」という発想は、投資の分散と同じです。1点に集中させず、必ず逃げ道を用意しておく。これが私の規律です。
私が使っている物理セキュリティキー(上級者向け・任意)
「YubiKey 5C NFC」— USB-CとスマホのNFCの両方に対応した定番モデルです。繰り返しますが、これは上級者向けの任意の追加です。まずは土台3つを固めてください。
| 守りの道具 | 私(筆者)の使い方 | 読者へのおすすめ度 |
|---|---|---|
| パスワード管理アプリ | 毎日使う主力 | ◎ 全員におすすめ |
| 2段階認証・パスキー | 全口座でオン | ◎ 全員に必須 |
| YubiKey(物理キー) | 複数本を登録した本気構成 | △ 任意(慣れてから) |
| 有料セキュリティソフト | 使っていない | ✕ 基本は不要 |
これから口座を持つなら|パスキー対応の証券会社で
ここまで読んで「これから投資を始めたい」と思った方へ。口座を持つなら、乗っ取り対策(パスキー)にしっかり対応したネット証券が安心です。いまや主要各社が対応済みです。
私自身の主軸はSBI証券ですが、用途で使い分けています。米国株や個別株もしっかり見たい方はマネックス証券、サポートの手厚さや少額から相談しながら始めたい方は松井証券が選びやすいと感じます。どちらもパスキー導入済みで、口座開設・維持は無料です(※私が使っている=全員に最適、ではありません。ご自身の用途で選んでください)。
まとめ|守りは「習慣」、お金はほとんどいらない
証券口座の乗っ取りは怖いニュースです。ですが、守り方はシンプルです。最後に整理します。
- 2025年の証券口座の不正売買は7,393億円にのぼりましたが、大手のパスキー導入後は大きく減っています。対策は効きます。
- 守りの土台は3つです。パスワード管理アプリ、2段階認証・パスキー、そして怪しいものを入れない習慣です。
- 有料セキュリティソフトは基本不要です。標準の無料の守りで十分強く、最大の防御はタダでできる習慣です。
まずは今日、お使いの証券口座でパスキーをオンにしてみてください。5分で終わって、効果は絶大です。次に、パスワード管理アプリを1つ入れてみてください。
資産は、増やすだけでなく、守って初めて自分のものになります。お金をかけずに守る規律こそ、長く投資を続ける人の土台になります。
あわせて読みたい(守りを固めたら、次は土台づくり)
※本記事は情報提供を目的としており、特定の金融商品やサービスへの投資・契約を推奨するものではありません。料金・仕様は変動するため、最新の情報は各公式サイトでご確認ください。投資判断はご自身の責任のもとで行ってください。
本記事は情報提供を目的としており、投資助言・勧誘を目的とするものではありません。投資判断はご自身の責任で行ってください。
