2020年2月6日

XMのパスワードを教えてください、は使うな!

はい、タイトルで結論書きました。

XMに限らないのですが「いいEAですよー」と宣伝していて、アフィリエイトリンクからIB口座開くと、MT4のパスワードを聞かれる事案が多々あります。

私もパスワード教えてしまったことがあるのですが、結論としては、そのようなEA(≒投資グループ)には手を出すな!という警笛記事です。

どのような流れ

パスワードを聞く投資グループの場合、例えばこんな感じの案内文が来たりします。

導入までの流れは
①XMの開設を下記URLからして頂く。
②開設後、XMのログインID、パスワードを送って頂く。
③FX自動売買ソフトを導入する。

の流れになります。

某投資グループの案内文

ちょっと悪質だと、IB口座開いたあとにパスワード聞かれます。パスワードを聞く理由としては、こんな感じの常套句で説明されます。

EAはこちらのサーバー上で稼働させる形になるのでPASSは必要になります! 何故EAをこちらのサーバー上で稼働させるかというと EAにエラー等が出た際に迅速に修正をかけるためと 皆さんが正常に注文・決済が出来ているかリアルタイムでこちらにて確認するためです! また、こちらのEAはONOFFする必要もあるので各自のVPSで稼働させているとONOFFしないといけないタイミングですぐに出来ない事の方が多いと思いますし 実際にそれで利益を逃す、損失を被るパターンを考慮して、EA本来の最大パフォーマンスを発揮するために僕のEAはこちらで管理する形を取っています(__)

某EA配布者の説明

もっともらしい理由ですし、EAの設定とかVPSの維持とか面倒なので、最適な運用してくれるならいいんじゃないか!と思ってしまいそうですよね。

でもダメです。

なぜ使ってはダメなのか

いくつか理由はありますが、主に以下の3つです。

個人情報丸見え

XMの場合、MT4の口座番号とパスワードでXMの会員ページにログインできます。ログインすると、自分の住所氏名だけでなくマイナンバーまで丸見えです。

他口座への資金移動が可能

XMの場合、追加口座を8まで持つことができます。ログインすれば口座間の資金を移動したり、パスワードを変更したり、レバレッジを変更したり、何でも操作できてしまいます。

法律的にもXMの規約としても違反

日本の法律で、資金を集めて投資を行うには金融庁の許可が必要になります。少なくとも一個人でとれるような許可ではないので、資金管理を任せて運用するという行為は、ほぼ違法と考えて問題ないです。

もし、 どうしても信じたいのであれば、以下のページに掲載されているか業者名を聞いてみてください。

金融庁:免許・許可・登録等を受けている業者一覧
https://www.fsa.go.jp/menkyo/menkyo.html

そして、そんなことは抜きにしても、XMの規約で他人にパスワードを教えることは禁止です。規約違反をしているということは、口座を凍結されても出金拒否されても文句を言えません。

想定しうる最悪のシナリオとは?

「それでも出金はできないなら、大丈夫なんじゃない?」と思っている人、甘いです。以下はすべて机上の空論ですが、例えば以下のような「詐欺グループ」のシナリオが想定できます。

  1. 「高収益EA、月利○%、○年間負けなし、PC不要」とうたって出資者募集。きちんと成果をあげるEAは準備しておく。
  2. IB口座を開設させ、入金させ、口座番号とパスワードを聞く。「出金はできないので安心してください」
  3. 実際に出資者のアカウントでMT4を起動してEA設定と運用をする。コツコツ実績報告をしつつ、出資者をあつめる。この段階で、誰の口座にいくら入っているか把握できる。
  4. メールアドレスが判明しているので、口座と同じパスワードでメールアカウントにログインできるか試行する。
  5. メールアカウントにアクセスできた出資者のリストを作成。このユーザーをターゲットにする。
  6. ターゲットユーザーの会員ページからメールアドレスを変更する。
  7. 現在のメールアドレスに確認メールが飛ぶが、すぐにメール確認して消してしまえば、すぐにはばれない。
  8. 変更後の新メールアドレスであらかじめbitwalletの口座を開設しておく。身分証が必要だが、その辺はどうにでもなる。
  9. bitwalletに全額出金申請。
  10. 全ターゲットユーザーからの出金がbitwalletに集まったら bitwalletから全額出金。
  11. この時点で、早いユーザーは気づくかもしれない。ただ、ターゲットユーザーが全体の1%だとすると、残りの99%は正常稼働しているので「私は利益出てます」という報告はネット上で継続される。ターゲットから問い合わせが来ても「表示上の不具合かもしれません。ほかのユーザーは正常に動作してます。調査しますので、お待ちください。」とでも言って時間稼ぎする。結果として「だまされた」と確信するまで時間がかかる。
  12. 犯人は逃亡。
  13. 逃亡後もターゲット以外の99%のユーザーのEAは稼働し続ける。

ざっと、こんな感じですかね。
ど素人ができるわけではないですが、難しい作業ではないです。

今、パスワードを聞いて運用代行しているグループが詐欺だ!と言いたいわけではないです。ただ、このような悪用の可能性があるのは事実です。

ということで、大事なことなので、最後にもう一度。

XMのパスワードは教えちゃダメ、ゼッタイ!!

EA