2025年2月到4月,仅仅3个月内,日本证券账户遭受1,454件不正取引、被盗506億円——攻击者的手法是:用暗网购买的账号密码登录受害者的证券账户,买入垃圾股拉高后抛售,受害者的资产在几分钟内蒸发。与此同时,微软2025年5月的报告揭示:仅在3月到5月短短两个月内,一款叫做Lumma Stealer的信息窃取木马已感染全球39万台设备——它的传播方式,是一个假的"我不是机器人"验证页面。
在日华人处于独特的风险交叉点:管理着日本的证券・银行账户,同时维护着微信・支付宝・中国银行的中国侧账户;在日语环境中工作,在中文环境中生活;有时需要翻墙,有时需要把文件发给国内父母。每一个交叉点,都是攻击者的入口。
本文只讲防御:如何保护你已有的账户、设备和数据。不涉及任何绕过安全机制、入侵他人系统的内容。
全文约15,000字,覆盖15个核心专题,预计阅读时间42分钟。如果时间有限,直接跳到第14章「今天就能完成的10项安全设置」,30分钟内可完成最高优先级的防护。
先看两个数字理解问题的规模。Cloudflare 2024年数据显示:人类用户发起的登录请求中,有41%使用的是已在暗网泄露的账号密码。也就是说,你现在使用的密码中,接近一半已经被攻击者知道了。Verizon《2025年数据泄露调查报告(DBIR)》的结论更直接:真正符合复杂度要求的密码只有3%。其余97%都是可以被快速暴力破解的弱密码。
在日华人平均需要管理的账户类型,远超普通日本居民:
- 日本侧金融账户:证券(楽天・SBI等)・银行(みずほ・三菱UFJ等)・クレジットカード・PayPay
- 中国侧账户:微信・支付宝・中国银行・招商银行・余额宝・A股证券账户
- 在留・行政账户:マイナポータル・e-Tax・入管在線申請
- 日常サービス:メルカリ・Amazon JP・楽天・dアカウント・Yahoo! JAPAN
- SNS・通讯:LINE・X(Twitter)・Instagram・小红书・抖音国际版
- 云存储・邮件:Google Drive・iCloud・阿里云盘・公司邮件系统
一旦其中一个账户被攻破,攻击者可以用「忘记密码」功能,通过邮件和手机号控制其他所有账户。这种多米诺骨牌式的连锁崩溃,是2025年证券账户盗取事件的核心机制。
密码已死?Passkey(密钥)时代正式来临
Passkey(日语:パスキー,中文:密钥 / 通行密钥)是基于FIDO2/WebAuthn标准的新一代登录技术。原理简单:你的设备(iPhone / Android / YubiKey)在本地生成一对密钥,私钥永远不离开设备,服务器只保存公钥。登录时用指纹或Face ID签名,服务器验证签名。
这个机制有两个关键特性:① 钓鱼网站无法获得任何有用信息——因为私钥从不传输;② 服务器数据库泄露不影响你的账户——泄露的是公钥,公钥本身无法用于登录。Passkey从技术层面消灭了密码时代最主要的两种攻击:钓鱼攻击和数据库撞库攻击。
| 服务 | Passkey支持状态 | 备注 |
|---|---|---|
| Yahoo! JAPAN | ✅ 已支持,2027年废止密码登录 | 现已60%用户完成设置 |
| メルカリ | ✅ 已支持 | 2024年Passkey注册突破1,000万人 |
| dアカウント(NTT) | ✅ 已支持 | 设置后近50%用户启用 |
| 楽天証券 | ✅ FIDO认证必须 | 高额取引时硬件密钥推荐 |
| SBI証券 | ✅ FIDO认证必须 | 2025年证券事件后全面升级 |
| Google账户 | ✅ 全平台支持 | 已成默认登录方式 |
| Apple ID | ✅ iCloud钥匙串 | 跨设备同步 |
| 微信 / 微信国际版 | ⚠️ iOS WeChat v8.0.54以上部分支持 | 整体依赖手机号SMS |
| 支付宝 / 淘宝 / 京东 | ❌ 尚未支持 | 仍以密码+SMS验证为主 |
| Telegram | ✅ 2025年12月已全用户推出 | Passkey作为2FA使用 |
iPhone(iOS 16以上):Safari打开支持Passkey的网站 → 账户设置 → 安全设置 → 添加Passkey → 选择「iCloud钥匙串」保存 → Face ID / Touch ID确认
Android(Android 9以上):Chrome浏览器打开网站 → 账户安全设置 → 添加Passkey → 选择「Google密码管理器」或系统密钥管理器 → 指纹确认
优先设置顺序:证券账户(楽天・SBI)→ 银行账户 → 邮件(Google/Apple)→ メルカリ → Yahoo! JAPAN → SNS账户
密码管理器实测推荐:Bitwarden vs 1Password
「我的密码都存在微信备忘录/手机备忘录里」「我用的是同一个密码」——这是在日华人最常见的密码管理方式,也是证券账户盗取事件的主要成因。「微信备忘录里存着密码,所以微信账户就是一切账户」——这种状态意味着一处失守、全线崩溃。
密码管理器解决的核心问题是:每个账户使用独立的、长达20〜30字符的随机密码,同时你只需要记住一个主密码。两款主要推荐如下:
| 项目 | Bitwarden | 1Password |
|---|---|---|
| 价格 | Free / Premium $19.80/年 | $3.99/月(约¥600/月) |
| 开源(OSS) | ✅ 完全开源 | ❌ 闭源 |
| 自托管(Self-Host) | ✅ 可用Vaultwarden等自架 | ❌ 不支持 |
| Travel Mode(入境保护) | ❌ 不支持 | ✅ 支持(回国时推荐) |
| Secret Key保护 | ❌ 无 | ✅ 有(账户+密码+秘密密钥三要素) |
| Passkey保存 | ✅ Premium版支持 | ✅ 支持 |
| 紧急联系人功能 | ✅ 支持 | ✅ 支持 |
| UI评价 | 功能完整・界面简洁 | 界面精致・新手友好 |
| 推荐对象 | 注重开源透明・预算有限 | 有回国需求・企业用户 |
1Password的Travel Mode功能:回国前在PC上勾选「旅行保管库」,指定允许在旅途中访问的保管库;其余所有保管库在设备上完全不可见。即使海关要求解锁手机,敏感账户数据也不会显示。
回国结束后,在安全环境中重新启用全部保管库。这是目前对跨境旅行者保护性最强的方案。
Bitwarden Premium:$19.80/年(约¥2,970/年)
1Password Individual:$3.99/月(约¥600/月,约¥7,200/年)
两者均远低于账户被盗一次的损失。以2025年证券事件单案平均被害额估算(推計5,700億円÷件数),年费不足被害额的0.001%。
Bitwarden导入3步骤:① 访问 bitwarden.com 注册账户,设置强主密码(20字符以上,建议使用4〜5个随机词语组成的パスフレーズ);② 安装浏览器扩展插件(Chrome/Firefox/Safari),每次登录网站时让Bitwarden自动生成并保存新密码;③ 导出旧密码(iOS钥匙串→CSV→导入Bitwarden,导入后立即删除CSV文件)。整个过程约30分钟。
两段验证(2FA)正确做法:从Authy迁移
2024年7月,Twilio(Authy母公司)确认遭受数据泄露,3,300万条用户电话号码外泄。虽然TOTP密钥本身未泄露,但电话号码被攻击者掌握后,可用于SIM Swap攻击(伪装成本人向运营商申请补卡,夺取手机号控制权)。
此外,Authy桌面版已于2024年3月正式停止服务,Android版和iOS版虽然继续运行,但Twilio已宣布逐步收缩支持范围。建议所有Authy用户尽快迁移至Ente Auth或Aegis(Android)。
| 应用 | 平台 | 开源 | 云备份 | 加密备份 | 推荐度 |
|---|---|---|---|---|---|
| Ente Auth | iOS / Android / 桌面 | ✅ | ✅ E2E加密 | ✅ | ★★★★★ |
| Aegis | Android专用 | ✅ | ❌ 本地备份 | ✅ | ★★★★★ |
| 2FAS | iOS / Android | ✅ | ✅ iCloud/Google | ✅ | ★★★★ |
| Bitwarden Authenticator | iOS / Android | ✅ | ✅(Premium) | ✅ | ★★★★ |
| Google Authenticator | iOS / Android | ❌ | ✅ Google账户 | ⚠️ | ★★★ |
| Authy | iOS / Android | ❌ | ✅ | ⚠️ | ★(已不推荐) |
对于有高安全需求的用户(证券・银行・主邮件账户),推荐使用硬件安全密钥YubiKey 5C NFC。价格约¥7,800〜¥9,800,支持USB-C、NFC(可直接触碰iPhone/Android使用),通过FIDO2 / WebAuthn / OTP三种协议保护账户。重要:必须购买2支——一支日常使用,一支作为备份密钥,分开保管。若只有1支且丢失,账户将无法恢复。
SMS(短信)验证码作为2FA是最弱的选项。SIM Swap攻击(攻击者向运营商谎称「手机丢失」,申请将你的号码转移到新SIM卡)已成熟产业化。日本国内2024年件数虽未公开,但美国FTC数据显示每年万件以上。
如果某服务只提供SMS 2FA,优先开启;但若该服务同时支持TOTP / Passkey,应替换SMS 2FA,绝非叠加。
中国手机号和日本手机号,两个都不能丢
许多在日华人在换用日本号码后,会陷入一个困境:中国的+86号码费用高、不常用,想解约——但解约的代价极其严重。
- 微信账户:绑定手机号丢失后,「手机号+短信验证」登录失效。若没有其他找回方式(绑定的邮件地址或已登录设备),账户将永久无法找回
- 支付宝:绑定手机号是账户找回的主要凭证之一,号码失效后余额可能被冻结
- 中国银行网银 / 手机银行:部分银行要求定期用绑定手机号验证,号码失效会导致网银访问中断
- 国内各类App账户:12306(购票)・滴滴・美团等均绑定手机号
| 保号方案 | 月额费用 | 适合场景 |
|---|---|---|
| 中国联通/移动保号套餐 | 约5〜10元/月(¥100〜200/月) | 不常回国・号码仅用于账户绑定 |
| 低用量流量套餐 | 约20〜30元/月(¥400〜600/月) | 偶尔回国・需要少量通话 |
| 副号App(如小号) | 不推荐 | 服务质量不稳定・验证码成功率低 |
| 日本格安SIM+转接 | 约¥500〜1,000/月 | 需要日本号码接收转发至中国号 |
长期解决方案是将微信・支付宝等重要账户的2FA逐步迁移至TOTP(认证器App)或Passkey,减少对手机号的依赖。具体操作:微信→设置→账号与安全→手机号绑定(同时添加邮件地址作为备用);支付宝→设置→安全→实名认证与绑定手机号(确保邮件地址也绑定)。
日本著作権法:违法下载=最高2年监禁・200万円罚款
2021年1月1日,日本修订的著作権法第30条1項4号正式施行。修订前,违法下载只针对音乐和影像;修订后,所有著作物——漫画・图鉴・写真集・学术论文・教材——均纳入规制。
| 违法行为 | 个人刑事罰则 | 说明 |
|---|---|---|
| 个人违法下载(故意・反覆) | 2年以下懲役 / 200万円以下罰金 | 知情情况下反覆下载,可被追究刑事责任 |
| 上传・分发著作物 | 10年以下懲役 / 1,000万円以下罰金 | 种子上传者・文件分享服务器管理者 |
| リーチサイト(链接聚合站)运营 | 5年以下懲役 / 500万円以下罰金 | 专门收录非法内容链接的站点 |
| 法人违法 | 3倍以下罰金(最大3,000万円) | 两罚規定(行为者+法人同时追究) |
个人违法下载构成刑事犯罪需满足3个条件:① 知道该内容是非法版本(非善意);② 反覆・継続下载(单次下载通常不追究);③ 明显超出个人享用范围。即使不被追究刑事责任,著作権者仍可提起民事诉讼要求损害賠償。
CODA(コンテンツ海外流通促進機構)公布的数据:截至2025年,协助日本警察针对违法内容分发・下载的累计逮捕者已达<strong>3,812名</strong>。逮捕者包括使用BitTorrent下载漫画的普通个人用户,绝非只针对大规模分发者。
近年代表性执法案例:2022年北海道警逮捕使用转スラ(转生史莱姆)盗版漫画资源的个人用户;2022年宫城县警对企业法人首次适用两罚規定逮捕;2024〜2025年多起针对漫画・动画视频「課金代行」(代他人付费后分享内容)用户的逮捕——「代充购买后截图/录屏分享给朋友」也已被认定为违法分发。
在微信群・LINE群・Discord中分享「盗版漫画资源网站链接」,在日本著作権法下存在两层风险:
① 链接分享本身:若该链接指向明确的非法内容,存在帮助侵权(幇助)的民事责任风险
② 内容转发:将截取的有著作権内容直接发送他人,构成公衆送信権侵害
微信群最常见的「朋友圈里的资源帖」,在日本法律下与在中国有本质不同的法律风险。
ClickFix攻击・Lumma Stealer——"我不是机器人"点错一次,账户全没了
2025年上半年ESET威胁报告显示,ClickFix攻击手法同比激增517%。这种攻击的可怕之处在于:它完全绕过了防病毒软件,诱使用户自己执行攻击代码。
ClickFix的完整流程:你访问某个页面(伪装成YouTube / Google Docs / 验证页面)→ 页面弹出提示「请完成真人验证,点击下方按钮」→ 点击后,一段PowerShell命令被悄悄复制到剪贴板→ 页面提示「按Win+R键,在弹出窗口中粘贴(Ctrl+V)并按回车」→ 你亲手在自己的电脑上执行了攻击者的代码。整个过程不需要任何系统漏洞,用户的信任就是攻击者的武器。
微软2025年5月发布的报告显示:2025年3月到5月,Lumma Stealer木马感染超过全球39万台设备,其中大量通过ClickFix传播。ESET《2024年上半期威胁报告》记录其增长率达到369%。
Lumma Stealer的收集范围:浏览器保存的所有密码 / 保存的信用卡信息 / 所有Cookie(包括已登录的会话Cookie)/ 加密货币钱包 / 桌面和文件夹的截图 / 系统信息
Cookie窃取最危险:攻击者无需密码,直接用你的会话Cookie登录你的所有已登录账户,完全绕过2FA。
Lumma Stealer感染后的典型被害连锁:Cookie被盗 → 证券账户登录(无需密码)→ 出卖你的持仓 → 购入垃圾股拉升 → 你的账户资金归零。同时,浏览器保存的所有密码被盗 → 其他账户逐一被接管 → 绑定的邮件地址被换掉 → 账户永久无法找回。
2025年5月,美国司法部(DOJ)与微软数字犯罪部门(DCU)、欧洲刑警组织(Europol)联合行动,摧毁与Lumma Stealer相关的2,300个恶意域名——微软接管777个,DOJ查封并移交多个,欧洲刑警组织协助关闭约300个。然而,Lumma Stealer的开发者仍在活动,新版本已出现。这次打击只是延缓,并非终结。
「中国朋友发来的链接」为何不可信:在日华人中存在一种误判——「国内朋友发的链接应该是安全的」。实际上,发送者本人的设备可能已被感染,其微信/微信群被用于自动转发恶意链接。Lumma Stealer感染后,会扫描设备中的联系人并自动发送传播链接,受害者本人毫不知情。永远不要在点击任何链接后,按照页面指示执行粘贴+回车操作。
合法替代:在日本看中文内容的正规平台
盗版资源的风险之一是内容本身可能携带マルウェア。使用合法平台,不仅从法律上安全,内容质量也更有保障。以下是日本市场可合法访问的中文内容服务:
| 平台 | 月额(含税) | 中文内容 | 推荐度 |
|---|---|---|---|
| iQIYI International | ¥600〜¥800 | 爱奇艺国际版・大量中文剧・综艺 | ★★★★★ |
| WeTV International | ¥600〜¥800 | 腾讯视频国际版・中文剧・动漫 | ★★★★★ |
| Rakuten Viki | ¥700〜¥900 | 亚洲ドラマ・中文字幕・韩剧 | ★★★★ |
| Netflix | ¥790〜¥1,980 | 部分中文剧・国际配信アニメ | ★★★★ |
| U-NEXT | ¥2,189 | 中国・台湾・韓国ドラマ充実 | ★★★★ |
| dアニメストア | ¥550 | アニメ特化・中文字幕あり | ★★★ |
| DMM TV | ¥550 | アニメ・海外ドラマ・独占配信 | ★★★ |
| Hulu Japan | ¥1,026 | 海外ドラマ・映画・国内ドラマ | ★★★ |
爱奇艺・优酷・腾讯视频的中国本土版对海外IP实施地理锁定,无法正常访问。即使通过VPN突破访问,也违反这些平台的服务条款(属民事违规,不构成刑事犯罪)。
更实际的风险是:免费的「翻墙App」中有相当比例携带マルウェア,使用盗版VPN绕过地理锁定的代价,可能是整台设备被感染。建议直接使用国际版服务,规避这一风险。
中国App的数据风险:微信・TikTok・小红书・DeepSeek
这一章并非建议「删除所有中国App」——对在日华人而言,微信是维持家庭和社交关系的基础设施,完全不可替代。这里的目的是:理解每款App的数据风险等级,做出有意识的使用决策。
微信的数据安全问题有详细的学术研究依据。加拿大Citizen Lab研究机构2020年报告证实:微信会将用户内容(图片・文件)与敏感关键词数据库进行比对,用于训练审查算法,且该机制同时影响中国账户和非中国账户之间的通讯。2024年Citizen Lab发布的MMTLS协议分析报告指出:微信的传输加密协议存在设计缺陷,且微信不提供端到端加密(E2E),腾讯服务器理论上可访问所有消息内容。
| App | 开发商国籍 | E2E加密 | 数据审查 | 内容风险 | 推荐做法 |
|---|---|---|---|---|---|
| 微信 / WeChat | 中国(腾讯) | ❌ 无 | ✅ 确认存在 | 高 | 仅用于家庭・朋友社交,敏感内容用Signal替代 |
| TikTok | 中国(字节跳动) | ❌ 不适用 | ⚠️ 推测存在 | 中 | 娱乐用途尚可,不存储敏感内容 |
| 小红书 | 中国 | ❌ 无 | ⚠️ 推测存在 | 中 | 公开内容分享平台,不存储私密信息 |
| DeepSeek | 中国 | ❌ 无 | ⚠️ 推测存在 | 极高 | 严禁在工作场所使用・不输入任何个人信息 |
| CapCut(剪映) | 中国(字节跳动) | ❌ 无 | ⚠️ | 中 | 视频素材被上传至服务器,注意隐私内容 |
微信官方从未宣称提供端到端加密(E2E)。所有发送的文字・图片・语音・视频,腾讯服务器在技术上均可访问。
实际影响范围:政治・法律・财务的敏感讨论 / 护照・在留卡・マイナンバー等证明文件扫描件 / 证券账户截图・银行账户余额信息。这些内容建议通过Signal发送。
DeepSeek在隐私政策中明确表示:用户输入内容存储于中国服务器,受中国法律约束。意大利・韩国・澳大利亚・台湾等国政府已正式禁止在政府设备上使用DeepSeek。
日本政府尚未正式声明,但多家大型企业(NTT、トヨタ系列等)已内部禁止使用。在日华人的工作设备上,请遵从公司规定;个人设备上,请勿输入姓名・住所・マイナンバー・収入等个人信息。
设备分离战略(Device Segmentation)是保护核心数据的最有效方法:
- 工作设备(PC・スマホ):不安装微信・TikTok・DeepSeek等中国系App,遵从雇主IT规定
- 个人主力设备:安装微信,但不登录网上银行・证券App(另配设备)
- 金融专用设备:将旧スマホ重置后作为金融专用终端。仅安装楽天証券・SBI・みずほ等,不安装SNS
- 中国侧专用设备(可选):专门用于支付宝・微信支付・中国银行,与日本金融账户完全隔离
VPN在日本完全合法,回中国就违法
日本境内:VPN使用完全合法。日本没有任何法律限制个人或企业使用VPN。企业远程办公・个人隐私保护・访问海外内容,均属合法用途。
中国境内:个人使用未授权VPN违法。《电信条例》第14条规定,使用未经工信部许可的VPN属于违法行为,个人罚款最高15,000元人民币;VPN提供方如未经许可运营,处3〜7年有期徒刑。
回国注意:不要携带处于激活状态的VPN客户端入境中国。
使用VPN访问Netflix中国大陆版本等地区限定内容,违反Netflix服务条款(属于民事违规),但不构成日本刑事犯罪。Netflix有权封禁账户,但不会追究法律责任。
| VPN服务 | 月额 | 总部所在 | 隐私政策要点 | 推荐度 |
|---|---|---|---|---|
| Mullvad VPN | €5/月(固定) | 瑞典 | 无需账户・完全不留日志・支持匿名付款 | ★★★★★ |
| ProtonVPN | 免费版可用 / ¥500〜¥1,500 | 瑞士 | 有免费方案・E2E加密・适用瑞士法律 | ★★★★★ |
| NordVPN | ¥400〜¥600/月 | 巴拿马(实质) | Deloitte连续4年审计・2022年独立审计 | ★★★★ |
| ExpressVPN | ¥1,000〜¥1,500/月 | 英属维尔京群岛 | TrustedServer技术・纯内存运行 | ★★★ |
被称为「免费VPN」「翻墙App」「机场订阅」的中国系非正规VPN服务,大多存在以下问题:
① 通信内容被自家服务器监听——研究人员已多次确认此类案例
② 携带マルウェア——以APK文件形式传播的实例已有记录
③ 运营方在法律上有义务配合中国当局
「免费」VPN的真相是:你的数据就是商品。建议使用月额€5的Mullvad,或有免费方案的ProtonVPN。
回国前准备清单:① 若iPhone App Store地区曾临时改为中国,请改回日本;② 删除VPN应用的配置文件(设置→VPN→删除);③ 1Password用户请启用 Travel Mode;④ 所需文件提前保存到本地(在中国境内无法使用Google Drive・Dropbox)。
设备安全:iPhone推荐的5个理由・中国产手机的风险
- ① 安全更新的持续性:Apple对最新机型提供最长6〜7年的安全补丁。Android OEM因厂商而异(Samsung为4年,中国系厂商一般为1〜2年)
- ② App Store审核机制:iOS仅允许安装通过Apple严格审核的应用。Android支持APK旁加载,マルウェア风险较高
- ③ iCloud Keychain / Passkey集成:Passkey・密码・2FA验证码可通过iCloud无缝同步与备份
- ④ Advanced Data Protection(ADP):启用后iCloud数据实现E2E加密(详见第13章)
- ⑤ Secure Enclave:指纹・面部识别・信用卡信息隔离保存于专用芯片,OS层面也无法访问
| 厂商 | 安全风险 | 更新期限 | 推荐度 |
|---|---|---|---|
| Huawei(华为) | 受美国制裁・HMS生态系・不含Google服务 | 〜2年(非Harmony OS) | ⚠️ 不推荐 |
| Xiaomi(小米) | 中国ROM版预装大量应用 | 2〜3年 | ⚠️ 需确认 |
| OnePlus | 部分机型存在可疑通信的报告 | 3〜4年 | △ |
| Honor(荣耀) | Huawei系・HMS・不含Google服务 | 〜2年 | ⚠️ 不推荐 |
| Samsung | Android系最长4年保证・Knox硬件安全 | 4年 | ✅ 可作替代选择 |
| Google Pixel | Android原生・更新最快・7年保证 | 7年 | ✅ 推荐 |
在中国国内购买的Android设备(China ROM)存在以下问题:
① 未预装Google Play商店:楽天証券・SBI・マイナポータル等的安装较为困难
② 预装中国应用商店:预置了难以删除的中国系App
③ 安全补丁更新滞后:与日本版固件不同,更新周期较慢
以在日本长期生活为主的情况下,建议购买日本版(全球版)iPhone或Android设备。
公共Wi-Fi的实际威胁:2024年澳大利亚确认出现「Evil Twin(邪恶双胞胎)」攻击——在机场・咖啡厅伪装成正规Wi-Fi网络设置恶意热点,监听连接用户的通信内容。日本国内同样不能排除类似手法的存在。
- 实用对策①:使用公共Wi-Fi时不打开金融App(改用移动数据)
- 实用对策②:仅在连接VPN的状态下使用公共Wi-Fi
- 实用对策③:关闭「自动连接」功能(设置→Wi-Fi→网络名→关闭「自动连接」)
- 实用对策④:仅访问HTTPS网站(确认地址栏的锁图标)
要防止ISP查看DNS搜索记录,可启用DoH(DNS over HTTPS)。
Cloudflare 1.1.1.1:iOS→设置→通用→VPN与设备管理→安装「1.1.1.1 – Faster Internet」配置文件(免费)
Quad9:自动屏蔽マルウェア域名(免费)
NextDNS:支持详细过滤设置(每月300次查询以内免费)
DoH比VPN更轻量,常时启用对网速影响也较小。
2025年证券口座506億円盗取事件——如何保护金融账户
2025年2月至4月,短短3个月内发生的证券账户不正取引事件全貌如下。根据警察庁・金融庁的官方公告:被害件数1,454件、被害总额506億円。金融庁内部估算显示,折算年度被害额可能高达5,700億円。
攻击手法简单却有效:攻击者用从暗网购买的泄露账号密码登录证券账户 → 将受害者的持仓全数卖出变现 → 以高价买入流动性极低的微型市值股(攻击者往往已事先大量持仓)→ 待股价急涨时抛售套利。这就是所谓的「拉高出货(ポンプ&ダンプ)」手法——受害者账户的资金直接转化为攻击者的利润。
| 金融機関 | 安全对应措施 | 导入时期 |
|---|---|---|
| 楽天証券 | FIDO2/Passkey必须・推荐使用硬件认证 | 2025年4月强化 |
| SBI証券 | FIDO2认证・可疑登录即时通知・交易限制 | 2025年4月强化 |
| 三菱UFJ銀行 | EMV 3-D Secure 2.0・一次性密码 | 2025年3月对应 |
| 三井住友銀行(SMBC) | EMV 3-D Secure・App内生物认证 | 2025年3月对应 |
| みずほ銀行 | EMV 3-D Secure・SMS通知强化 | 2025年3月对应 |
| 楽天銀行 | App锁定强化・可疑交易AI检测 | 2024〜2025年持续强化 |
| 松井証券・野村等17家 | 双重认证强化・强制开启登录通知 | 2025年4〜5月 |
EMV 3-D Secure(3DS2)是在信用卡在线支付时进行实时本人认证的规格。2025年3月末,日本所有电商网站被强制要求导入EMV 3DS2(经済産業省・割賦販売法修订)。
背景:2024年信用卡不正利用被害额达555億円(历史最高)。3DS2导入后,即使卡号・有效期・CVV泄露,没有智能手机实时认证也无法完成支付。
在日华人的应对:收到各卡公司发来的「3D Secure注册邀请」邮件(楽天カード・三井住友・JAL・ANAなど)时,务必从官方网站登录注册。注意フィッシング邮件。
PayPay全额补偿条件:PayPay提供「PayPay本人補償制度」,满足条件的不正利用损失可获全额补偿。条件:①已向PayPay或当局申报被害;②本人未参与不正利用;③已正确设置密码锁・指纹认证。补偿申请须在发现被害后30天内联系PayPay客服。
现在就能做的金融账户防护5项行动:
- ① 为证券账户设置Passkey / FIDO2:楽天証券・SBI証券均可在设置页面5分钟内完成
- ② 开启证券・银行所有账户的「登录通知」:每次登录时自动发送邮件或App通知
- ③ 将提款限额调低至实际使用范围:设为日常交易所需最低金额(余额存入其他账户)
- ④ 为信用卡注册3D Secure:从各卡公司官方网站注册(不要点击邮件中的链接)
- ⑤ 用密码管理器将证券账户密码完全随机化:若现有密码与其他服务共用,请立即更换
云端存储与SNS隐私设置
在日华人常用的云存储服务,在管辖法律、加密方式和隐私保护程度上差异极大:
| 服务 | 总部管辖 | 传输加密 | E2E加密(用户数据) | 推荐度 |
|---|---|---|---|---|
| Proton Drive | 瑞士(GDPR+) | ✅ TLS | ✅ E2E(默认开启) | ★★★★★ |
| Tresorit | 瑞士 | ✅ TLS | ✅ E2E(默认开启) | ★★★★★ |
| iCloud(启用ADP) | 美国 | ✅ TLS | ✅ 启用ADP后支持 | ★★★★ |
| Google Drive | 美国 | ✅ TLS | ❌ 以Google密钥加密 | ★★★ |
| 阿里云盘 | 中国(适用中国法) | ✅ TLS | ❌ 无 | ⚠️ 不推荐 |
| 拼多多网盘 | 中国(适用中国法) | ✅ TLS | ❌ 无 | ⚠️ 不推荐 |
iCloud的Advanced Data Protection(ADP)在Apple ID地区设置为「中国」的账户中无法启用。中国地区的iCloud数据保存在Apple中国合资公司GCBD(云上贵州)管理的服务器上,不在ADP适用范围内。
确认方法:iPhone→设置→[自己的名字]→个人信息→确认「地区」是否为「中国(中华人民共和国)」。
变更方法:将Apple ID改为「日本」地区(设置→Apple ID→国家或地区)→变更后启用ADP(设置→[自己的名字]→iCloud→高级数据保护)。
注意:变更前如有余额需先消费,并确认订阅迁移情况。
2024年9月14日,阿里云盘(阿里巴巴旗下云存储服务)发生故障,其他用户的私人照片出现在自己的相册中。技术原因被解释为缓存分发错误,但在中国法律框架下,当局依法要求数据访问的可能性也无法排除。
护照・在留卡・マイナンバー通知书等的扫描件,建议不要保存在中国系云存储服务中。
| 消息应用 | E2E加密 | 默认开启? | 元数据保护 | 推荐度 |
|---|---|---|---|---|
| Signal | ✅ Signal Protocol | ✅ 默认开启 | ✅ 封印发件人 | ★★★★★ |
| iMessage(启用iCloud ADP) | ✅ E2E | ✅ 默认开启 | △ | ★★★★ |
| ✅ Signal Protocol | ✅ 默认开启 | ❌ Meta收集元数据 | ★★★ | |
| LINE | ⚠️ Letter Sealing(可选) | ❌ 需手动开启 | ❌ | ★★ |
| Telegram | ⚠️ 仅秘密聊天 | ❌ 普通聊天非E2E | ❌ | ★★ |
| 微信 / WeChat | ❌ 无 | ❌ | ❌ | ★(仅社交必须时使用) |
微信的必要隐私设置5项——使用微信的前提是尽量减少数据暴露:
- ① 关闭「通过手机号查找」:设置→隐私→允许通过手机号找到我→关闭
- ② 关闭「允许陌生人查看10条朋友圈」:设置→隐私→允许陌生人查看朋友圈→关闭
- ③ 关闭「微信读书」「微信运动」数据共享:各App设置→隐私→关闭社交分享
- ④ 限制App权限(位置/麦克风/摄像头):iOS→设置→隐私和安全性→微信→仅使用App时允许位置
- ⑤ 定期清理聊天记录中的敏感内容:护照/银行截图等在确认对方收到后删除
LINEヤフー信息泄露事件(2023〜2024年):2023年10月,LINEヤフー公司系统遭受不正访问,约52万件用户・交易方・员工信息外泄。原因是通过委托方(NAVER)的通信路径被入侵。LINE是日本主要通讯工具,但此事件过后,转向Signal的用户明显增加。
中国的个人信息保护法(PIPL)适用于向中国居民提供服务的海外企业和个人(域外适用)。在日华人如果运营面向中国的电商或服务,可能需要遵守PIPL的数据本地化义务及安全评估义务。
如有相关业务,建议咨询专攻PIPL的律师。
实践清单:今天就能完成的10项安全设置
根据安全专家的研究,完成以下10项设置,可覆盖普通用户面临的数字风险的约80%。比起追求完美,更重要的是今天就开始行动。
| 优先度 | 操作 | 难度 | 所需时间 | 效果 |
|---|---|---|---|---|
| ★★★★★ | 导入密码管理器(Bitwarden) | 易 | 30分钟 | 统一管理所有账户认证信息・实现随机化 |
| ★★★★★ | 为主要账户设置Passkey / TOTP | 易 | 60分钟 | 提升对フィッシング・撞库攻击的抵抗力 |
| ★★★★★ | 将Authy迁移至Aegis / Ente Auth | 易 | 30分钟 | 消除Authy泄露风险 |
| ★★★★★ | 为证券账户设置FIDO / Passkey | 易 | 20分钟 | 直接应对证券账户盗取事件 |
| ★★★★ | 启用iCloud ADP(含地区确认) | 易 | 10分钟 | 实现iCloud数据E2E加密 |
| ★★★ | 设置DoH(Cloudflare 1.1.1.1) | 中 | 20分钟 | 防止DNS监听・ISP追踪 |
| ★★★ | 确认中国SIM保号套餐 | 中 | 需确认 | 防止微信・支付宝账户丢失 |
| ★★★ | 实施设备分离战略 | 难 | 数小时 | 物理隔离金融数据与中国系App |
| ★★★ | 注册合法中文内容服务 | 易 | 30分钟 | 脱离有マルウェア风险的盗版网站 |
| ★★ | 退出X(Twitter)的Grok数据共享 | 易 | 5分钟 | 停止向AI学习提供数据 |
X(Twitter)Grok退出(オプトアウト)方法:设置与隐私→隐私与安全→数据共享和个人设置→取消勾选「向Grok共享数据」。默认为开启状态,正在使用X的用户请立即确认并关闭。
FAQ——最常见的8个问题
Q1:中国手机号可以解约吗?
建议保留号码。每月5〜10元(约¥100〜200)的套餐即可维持。手机号是恢复微信・支付宝・中国银行账户时最重要的身份验证手段。一旦失效,部分服务需要在中国国内办理线下本人确认,实际上可能无法恢复。
Q2:在中国购买的手机可以在日本正常使用吗?
China ROM设备存在3项风险:未预装Google Play、预装中国系App难以卸载、安全补丁更新慢于日本版固件。楽天証券・SBI・マイナポータル等正规App有时无法正常安装。如果以在日本长期生活为主,建议换用日本版(全球版)设备。
Q3:在日本使用VPN违法吗?回国时呢?
在日本境内使用VPN完全合法。回国时,在中国境内使用未经许可的VPN属于违法行为(个人最高罚款15,000元)。入境前建议删除VPN应用的配置文件,回国期间停止使用。
Q4:在日本使用微信安全吗?
社交用途在现实中难以避免,但请了解微信不提供E2E加密这一前提。护照扫描件・银行信息・在留資格相关文件等机密文件,建议通过Signal或支持E2E加密的服务发送。
Q5:2025年证券账户事件的损失能获得补偿吗?
各证券公司的处理方式不同。楽天証券・SBI因受害件数较多,目前正在个别跟进与补偿研究中(2025年5月时点)。一般而言,如果本人存在故意或重大过失,通常不在补偿范围内。发生被害时,应立即联系证券公司并以书面形式留存记录。
Q6:用拼多多网盘与家人共享资料可以吗?
将有著作権的书籍・音乐・视频・论文上传至拼多多网盘进行共享,可能构成日本著作権法上的公衆送信権侵害。自己创作的文件(照片・文档)共享没有问题,但商业内容请避免共享。另外,拼多多网盘适用中国法,在安全保护方面也弱于日本服务。
Q7:密码管理器数据库泄露了怎么办?
密码管理器数据库发生泄露时(2022年LastPass事件即为实例),只要设置了强主密码+2FA,就不会造成实际损失。保存的数据以主密码派生的密钥加密,没有主密码无法解密。Bitwarden采用「零知识」架构,服务器端无法获知主密码。主密码建议使用20字符以上的パスフレーズ。
Q8:将Apple ID地区改为日本会有什么变化?
主要变化:① 可以启用iCloud ADP(E2E加密);② App Store切换为日本版,可访问日本限定App;③ 中国版App Store的部分内容将不再显示;④ 可使用Apple Pay(Suica・PASMO)。变更前注意:先消费账户余额、确认订阅迁移情况;已付费购买的App变更后仍可继续使用(从日本版商店下载)。
