AIが犯罪を高度化する時代へ:証券口座事件が示す認証の限界
Written byTAKA OTSUKA
2025年4月、日本国内で証券口座を標的とした大規模な不正取引事件が発覚しました。
報道によれば、攻撃の手口はシンプルです。①犯人が自分の口座で特定銘柄を安値で買う、②乗っ取った他人の口座で大量に買わせて株価を吊り上げる、③高値になったところで自分の口座で売り抜ける。この3ステップで利益を得る構図です。結果として被害者の口座には価値の下がった株だけが残り、巨額の損失が発生しました。さらに、犯罪集団は信用取引を使い、被害者の資産を担保にする例も報告されています(読売新聞)。被害額は5,700億円を超えた(朝日新聞)と見られ、金融庁は多要素認証(MFA)の利用を強く促すなど、制度面の強化も進んでいます(金融庁リリース)。
一方で、今回の事件が浮き彫りにしたのは、クラウドやAPIが当たり前となった現代の金融において、従来の「ユーザー名+パスワード」依存の設計では限界があるという構造的な課題です。多要素認証(MFA)はこうしたリスクを防ぐ手段の一つとされていますが、その効果を最大化するには、利用者側の理解と実践が不可欠です。しかし、これは日本に限らず他国でも課題となっており、「知っていても使わない」「設定が面倒」といった理由で利用が進まない例が多く見られます。
こうした背景を受けて、ユーザーの行動に依存せず、裏で利用者を守る技術の開発が進んでいます。デバイス情報や行動パターンから異常を検知する仕組み、セッション単位でのリアルタイム分析などがその代表例です。
進化するサイバー犯罪
サイバー犯罪は国境を越えて進化しています。AIの活用により日本語サイトの偽造の精度も上がり、成功率の高いサイトへと日々進化を続けています。そして、、犯罪グループは経済性・効率を追い求めており、成功した手口はすぐに他の組織へと模倣・展開されます。一度成立したスキームは何度も繰り返されるため、金融業界には「今起きていること」の先を読む力が求められています。
例えば、ここで注目されているのが AIを活用したAPIレベルでのクラウドセキュリティです。攻撃者がWebやモバイル経由で金融システムにアクセスする中、APIはしばしば最初に狙われるポイントとなります。そのため、認証や取引処理といったビジネスロジックへの不正アクセスの兆候を、リアルタイムで検出・遮断する仕組みが必要不可欠です。
さらに興味深いのは、犯罪グループが同じ手口を模倣しやすいという性質を逆手に取るアプローチです。たとえば、ある国や業界で検知された攻撃パターンを、別の地域やユーザーセグメントにおけるリスクスコアリングや異常検知に即時反映させるといった、「動的なISAC(情報共有分析センター)」のようなネットワーク型防御が可能になりつつあります。これは、APIやユーザー行動の情報をセキュアかつ横断的に活用することで実現される、新しい守りの形です。
2025年9月25日:セキュリティプロフェッショナルのためのイベントを開催!
————————————————————————————————————————————-
リスクを先取りしていたスタートアップの視点
こうした視点の転換が求められるなかで、すでにこの方向に動き出していたスタートアップも存在します。実際、当社のポートフォリオにも、こうしたリスクを早期に捉え、実装と発信を重ねてきた企業が複数あります。
Tanium
リアルタイムでエンドポイントを可視化・制御・修復するAI対応プラットフォームを提供し、「Power of Certainty 確実性の力」で企業の信頼性と安全性を支援しています。
同社は早くも2023年のブログ記事で、SMS傍受や偽プッシュ通知を悪用したMFA(多要素認証)突破の手口に警鐘を鳴らし、その限界を指摘していました。
”多要素認証はサイバーセキュリティにおいて必須の要件となりつつあります。ユーザーにとって煩わしい面はあるものの、多くの人はアカウント保護に有効だと認識しています。ですがそれは、多くのセキュリティ対策と同様に、ハッカーたちがますます巧妙な方法でMFAを回避し始めているという点です。”
さらに2025年5月の記事では、「MFAはデジタルアイデンティティに対して重要な保護層を追加する強力なセキュリティ手段であると認識された」と述べつつも、「MFAは強力な防御策であるものの、AiTM(Adversary-in-the-Middle)攻撃やプッシュ通知の過負荷(プッシュ疲労)、SIMスワップなどの手口によって突破され得る」と警告しています。
Transmit Security
パスワードレス認証や生体認証を含む次世代型のアイデンティティ管理ソリューションを提供しており、顧客ID管理、不正防止、本人確認の機能を単一の専用アーキテクチャに統合したクラウドネイティブ・プラットフォームを展開しています。
同社は2022年の記事で、アカウント乗っ取りが金融被害に直結するリスクを具体例とともに紹介し、認証バイパス後に起こる実被害の深刻さを強調していました。
“現実には、ひとつのアカウント乗っ取りだけで、企業や顧客は金銭的な打撃を受けかねません。攻撃者がクレジットカード番号と紐づいたアカウントにアクセスすれば、すぐにオンラインで買い物を始めることができます。その後、同じ認証情報を他のサイトで使うことも、ダークウェブで売ることも可能です。私たちの65%以上が複数のアカウントで同じパスワードを使い回しており、ハッカーはそのことを熟知しています。”
その後も、Identity-firstなAPI防御、Explainable AIによる不正検知の透明化、ビジネスロジックへの攻撃を横展開させない仕組み などをテーマに発信を続けており、最新のフィッシング対策解説でも「静的ルールではなく、ユーザー意図や行動を横断的に捉える深い信号」の重要性を訴えています。
Netskope
Netskopeはクラウドセキュリティプラットフォームで、CASBや次世代セキュアWebゲートウェイ(SWG)、ZTNA、SD-WANといったトータルSASEソリューションを提供しています。
2024年のThreat Lab Reportでは、アカウント乗っ取り(ATO)をSaaS環境における脅威と位置づけ、ユーザーのセッション乗っ取りや不正認証の増加を報告していました。2025年のレポートでは、ソーシャルエンジニアリングの拡大とその防御策を強調しています。
“毎月、組織の76%でクラウドアプリを介したマルウェア侵入が試みられ、1,000人に1人がダウンロードを行っています。フィッシングはさらに多く、1,000人中3.7人がリンクをクリックしており、その大半はクラウドアプリの認証情報を狙ったものでした。クリックするユーザーの割合は、1年前から約2倍になっています。”
Netskopeは対策として、全HTTP/Sトラフィックの可視化・検査やフィッシング耐性MFAへの移行が不可欠だと指摘しています。
Sardine
不正防止、コンプライアンス、与信審査のためのAIリスクプラットフォームを提供し、デバイスインテリジェンス、行動バイオメトリクス、機械学習を活用して、不正をリアルタイムで阻止、コンプライアンスを効率化、リスク管理チーム間のデータを統合する。
2025年7月に公開したブログ記事「AIによる不正検知:従来の防御策が現代の攻撃に失敗する理由」では、金融機関向けに、フィッシング攻撃を如何に阻止できるかについて解説しています。
”AIを活用した不正の難しさは、一つの手口ではなく“連鎖”として仕組まれている点です。フィッシングメールから偽サイト、盗まれた認証情報、音声通話やセッション乗っ取りへとつながり、個々の動きは無害に見えてしまいます。…だからこそ、静的ルールではなく、デバイスインテリジェンスや行動バイオメトリクスなど深層シグナルに基づく検知戦略が重要です。”
この記事では、画面共有ツールの利用痕跡、タイミングの異常、受話器の状態、指紋認証の不一致など、セッション内での微細な信号を組み合わせて不正を検知する具体的手法も紹介されています。
Island
Islandの企業向けブラウザは、自由な業務の流れと本質的なセキュリティを両立させる、理想的なエンタープライズ・ワークスペースです。企業に不可欠な機能をブラウザ自体に組み込み、組織に完全なコントロール、可視性、ガバナンスを提供しつつ、ユーザーが期待するChromiumベースのスムーズなブラウジング体験を実現しています。
特徴的なのは、ブラウザそのものがセキュリティ制御の役割を果たす点です。ユーザーのアクセスする環境が社内ポリシーに適合しない場合にログインをブロックしたり、機密アプリ利用時に追加のMFA認証を要求するなど、認証プロセスをブラウザ側で動的に強化できます。同社の2025年7月に公開したブログ記事では、Field CTOが次のように述べています。
“たとえMFAを突破されても、エンタープライズ・ブラウザはプレゼンテーション層で追加のMFAを要求し、未管理ブラウザからのアクセスを遮断することで、不正利用を根本的に止めることができます。”
Islandは、ブラウザそのものを制御点とすることで、従来の認証防御を超えた差別化を実現しています。
まとめ
今回ご紹介したスタートアップに共通するのは、単に“守る”ためのソリューションを提供するだけでなく、攻撃者の動きや新たな手口を先読みし、その知見を積極的に発信している点です。これからのセキュリティ戦略では、個々の対策技術もさることながら、「どのような視点でリスクを捉えるか」という洞察力が一段と重要になるでしょう。セキュリティの議論はもはや専門部署だけの話ではなく、経営やDX推進の現場に直結するテーマとなっています。
こうした論点をさらに深掘りできる場として、来月Geodesicが主催するセキュリティイベントを予定しています。本記事で触れた海外セキュリティ企業が一堂に会し、日本初登壇となるセッションや、国内での導入事例の共有、業界キーパーソンとのネットワーキング、ライブデモやハンズオンなど、多面的に学べる機会です。AI時代のセキュリティ戦略を実務の視点から考えるきっかけとして、ぜひご活用ください。
イベントウェブサイト:https://events.geodesiccap.com/2025SecLab