なぜ証券口座に「パスキー」が必須になったのか——不正アクセス急増の裏側と、今すぐやるべきこと

「次回ログインからパスキーの登録が必要です」——お使いの証券会社からそんな通知を受け取った方も多いのではないでしょうか。2026年に入ってから、マネックス証券、みずほ証券、野村證券、松井証券など主要ネット証券が相次いで「パスキー認証」を必須化しています。

「今までのID・パスワードじゃダメなの?」「パスキーって何?」「本当に安全なの?」——FPとして相談を受ける中でも、この話題への戸惑いの声をよく聞きます。この記事では、なぜ証券口座にパスキーが必須になったのか、その経緯と理由、パスキーの本当の実力、そして具体的な設定方法までを分かりやすく整理します。

何が起きていたのか——証券口座乗っ取り被害の急増

事の発端は、2025年に入って急増した証券口座の不正アクセス被害です。第三者が何らかの方法でID・パスワードを入手し、他人の証券口座に不正ログイン。保有株式を勝手に売却し、そのお金で別の銘柄を大量に買い付ける「不正売買」が全国で相次ぎました。

2025年の不正アクセス件数
17,000件超
不正売買の被害総額
7,000億円超

※2025年の1年間で判明している件数・金額。氷山の一角である可能性も指摘されている。

なぜ被害が広がったのか

主な原因として指摘されているのが、次の2点です。

原因内容
①パスワードの使い回し複数のサービスで同じID・パスワードを使い回し、1つの漏えいが他サービスへの不正ログインにつながる「パスワードリスト型攻撃」が横行
②フィッシング詐欺の巧妙化本物そっくりの偽サイトに誘導し、ID・パスワードを入力させて盗み取る手口が急増

つまり、どれだけ複雑なパスワードを設定していても、「使い回し」や「フィッシング」によって突破されてしまう——これが今回の被害の本質でした。

金融庁が動いた——監督指針の改正

被害の拡大を受け、金融庁は証券会社に対してセキュリティ対策の強化を要請。監督指針を改正し、パスキーなどによる強固な本人確認の導入を事実上必須とする方針を打ち出しました。

証券会社パスキー必須化の時期
みずほ証券2026年2月9日〜
マネックス証券2026年6月下旬〜
野村證券2026年6月27日〜
松井証券2026年6月〜順次

そもそも「パスキー」とは何か

パスキーとは、パスワードを一切使わない新しい本人認証の仕組みです。スマートフォンやパソコンの指紋認証・顔認証といった生体認証を使い、端末の中に生成された暗号鍵によって「本人であること」を証明します。

パスキーの威力——なぜここまで強固なのか

パスキーが「不正アクセス対策の切り札」と言われるのには、技術的な裏付けがあります。仕組みを図で見てみましょう。

あなたのスマホ
(端末内部)
🔒 秘密鍵
(外部に一切送信されない)
👆 指紋・顔認証
(秘密鍵を使う許可のスイッチ)

署名データのみ
やり取り
証券会社の
サーバー
🔑 公開鍵
(漏えいしても悪用不可)
✅ 署名を照合
(本人確認完了)

登録時、端末の中で「秘密鍵」と「公開鍵」という2つの暗号鍵のペアが自動的に作られます。秘密鍵は端末の中だけに保存され、公開鍵だけが証券会社のサーバーに登録されます。ログイン時は、サーバーから送られるデータに端末内の秘密鍵で「署名」し、その署名をサーバー側が公開鍵で照合する——という流れで本人確認が行われます。

このとき、パスワードのように「入力する文字列」自体はどこにも存在しません。生体認証(指紋・顔)は、あくまで「端末内の秘密鍵を使う許可を与える」ためのスイッチであり、指紋や顔のデータそのものがネットワーク上に送信されることはありません。

さらに重要なのが、パスキーは「登録したサイト(ドメイン)」と紐づいている点です。たとえ本物そっくりの偽サイトに誘導されても、パスキーはそのドメインが正規のものと一致しない限り一切反応しません。これが、パスキーが「フィッシング耐性のある認証方式」と呼ばれる理由です。

パスワード認証とパスキー認証の違い

比較項目パスワード認証パスキー認証
盗まれる「文字列」の有無あり(漏えいリスク)なし
使い回しリスク高い構造上あり得ない
偽サイトでの入力事故起こり得るドメイン不一致で反応しない
サーバー漏えい時の影響パスワードが直接悪用される公開鍵のみで悪用不可

これでネット証券の犯罪はなくなるのか

ここまで読むと「パスキーがあれば安心」と思われるかもしれません。実際、パスワードの使い回しやフィッシング詐欺による不正アクセスは大幅に減ると期待されています。しかし、すべての犯罪がなくなるわけではない点には注意が必要です。

残るリスク内容パスキーで防げるか
①端末盗難+生体認証突破端末を盗まれ、かつ指紋・顔を偽造される極めて稀なケースほぼ防げる
②サポート窓口へのなりすまし本人確認書類を偽造し「機種変更」を装ってパスキー再登録を図る△ 各社の本人確認体制次第
③SNS型投資詐欺本人が自ら騙されて振り込んでしまう手口。不正ログインとは無関係防げない

つまり、パスキーは「不正アクセス・なりすましログイン」というリスクには非常に強力な対策ですが、「自分自身が騙されて操作してしまう詐欺」への対策にはなりません。パスキー導入後も、投資詐欺への警戒は引き続き必要です。

設定方法を具体的に

実際の登録手順は証券会社によって多少異なりますが、大まかな流れは共通しています。

【事前準備】

  1. スマートフォンの画面ロックを設定する(指紋認証・顔認証・PINコードのいずれか)。パスキーは端末の画面ロック機能を土台にするため、これが未設定だと利用できません。
  2. iPhoneの場合:「設定」→「一般」→「自動入力とパスワード」から、「パスワードとパスキーを自動入力」がオンになっているか確認する
  3. Androidの場合:Googleアカウントにログインした状態で、Google パスワードマネージャーが有効になっているか確認する
【登録の流れ(証券会社共通の一般的な例)】

  1. 証券会社のサイトまたはアプリにいつも通りID・パスワードでログインする
  2. 「設定」または「セキュリティ設定」のメニューを開く
  3. 「パスキーの登録」または「多要素認証(パスキー)」の項目を選択する
  4. 画面の指示に従って「パスキーを登録する」を選択する
  5. スマートフォンが指紋認証・顔認証を要求するので、認証する
  6. 「登録が完了しました」といった表示が出れば設定完了

【登録後のログイン】
次回以降のログインは、IDを入力した後、パスワードの代わりに指紋認証・顔認証を行うだけでログインが完了します。

なお、パソコンからログインする場合も、パスキー対応のブラウザ(Chrome、Safari、Edgeなど最新版)であれば、スマートフォンとの連携(QRコード読み取りなど)でパスキー認証を行うことができます。

具体的な登録画面の項目名は証券会社ごとに異なるため、不明な場合は各社が公開している「パスキー登録方法」のFAQページを確認するのが確実です。

パスキーを設定する際の注意点

端末依存設定した端末に紐づくため、機種変更の際は事前に引き継ぎ設定を確認しておく必要があります。
画面ロックが前提スマートフォン本体の生体認証(指紋・顔)が前提となるため、スマホの画面ロック解除方法を必ず設定しておく必要があります。
複数端末の管理スマホとパソコンなど複数の端末で使う場合は、それぞれの端末で登録が必要になることがあります。

今すぐやるべきこと

☐  お使いの証券会社からパスキー登録の案内が来ていないか、メールやログイン後の画面を確認する
☐  案内が来ている場合は、期限までにパスキー登録を済ませる
☐  まだ案内が来ていない場合も、証券会社の公式サイトで「パスキー」の導入状況を確認しておく
☐  パスキー登録済みのサービスと、まだパスワードのみのサービスを整理し、パスワードの使い回しがないか見直す

まとめ

証券口座のパスキー必須化は、単なる「面倒な手続き」ではなく、2025年に実際に起きた大規模な不正アクセス被害を受けての、業界を挙げた対策強化です。技術的にも非常に強固な仕組みですが、投資詐欺のように「本人が自ら操作してしまう」被害までは防げません。手続きに少し手間はかかりますが、大切な資産を守るための重要なステップとして、この機会にぜひ設定を済ませておきましょう。

資産管理やセキュリティ対策について不安な点があれば、お気軽にFPやまぎしにご相談ください。

参考情報

この記事を書いた人

fp.yamagishi

金融機関に勤務しながら、副業でファイナンシャル・プランナーをしています。大学卒業後に金融機関に勤め、10年勤務した後、同業に転職。
25年以上の金融機関勤務経験を活かし、皆さんの資産運用・お金の問題を支援できましたらと考えています。

【資格】
・ファイナンシャルプランナー(CFP)
・FP技能検定1級取得
・貸金業取扱主任者