「ネット銀行やネット証券は便利だけれど、フィッシングや不正送金のニュースを見るたびに不安になる」——そんな気持ちを抱えながら、口座を使い続けている方は多いのではないでしょうか。
そんなとき、こう感じたことはないでしょうか。
- 「ネット銀行は危ない」と聞くけれど、実際どこまで安全なのか分からない
- 多要素認証・パスキー・FIDO2といった言葉が出てくると、自分には難しそうで設定を後回しにしている
- もし被害に遭ったらすべて自己責任になるのか、何が補償されるのか不透明
結論から言うと、ネット銀行・ネット証券は「正しい使い方」をしていれば十分に安心して使えます。なぜなら金融機関のシステムは 多重防御(Defense in Depth) という考え方で何層にも守られており、そこに個人側の最低限の4対策——パスキー有効化・メール/SMSのURLを踏まない・取引通知をすべてON・パスワードマネージャーの活用——を組み合わせれば、被害確率を実用上ほぼゼロに近づけられるからです。
なぜそう言い切れるのか。それは、金融機関側が「ユーザーの認証情報が1か所漏れただけでは口座が抜かれない」前提でシステムを設計しているからです。本記事ではこの多重防御の中身を5層に分けて解剖し、最後に個人がやるべき4対策に落とし込みます。
筆者は金融システムに20年関わってきた金融SEです。銀行・証券のオンラインシステムにおける認証基盤・不正検知(FDS)・通信暗号化・ログ監視の設計や運用に近い場所で仕事をしてきました。本記事はその視点から、「なぜ金融機関はそこまで多層に守るのか」「個人は何をやれば十分なのか」を整理するものです。
なお、本記事は特定のサービスの安全性を保証するものではなく、また被害時の補償可否を断定するものでもありません。最新の規約・補償条件は各金融機関の公式情報でご確認ください。数値・制度内容は2026年5月時点で公開されている警察庁・金融庁・全国銀行協会・フィッシング対策協議会等の公表値に基づきます。
この記事でわかること
- ネット銀行・ネット証券のシステムが「多重防御」でどう守られているか(5層の全体像)
- ID/パスワードだけでは守れない理由と、漏洩データベースの現実
- 多要素認証3方式(SMS・TOTP・パスキー)の仕組みと、フィッシング耐性の決定的な差
- 不正送金検知システム(FDS)が裏側で何をしているのか
- 個人が今すぐやるべき4対策と、もし被害に遭ったときの72時間以内の動き方
結論──個人ができる4対策をやれば、ネット銀行・ネット証券は安心して使える
最初に本記事の結論を一気に提示します。
金融機関のシステムは「多重防御」によって、どこか1層が破られても次の層で食い止める設計になっています。その上で、個人側がやるべき対策は次の4つです。
- パスキー(または生体認証)を有効化する——対応していれば即時設定
- メール・SMSのリンクは絶対にクリックしない——必ずブックマークまたは公式アプリから直接アクセス
- 取引通知・ログイン通知をすべてONにする——身に覚えのない動きに即気付ける状態を作る
- パスワードマネージャーを使い、サイトごとに別々のパスワードを設定する——使い回しをなくし、偽サイトの検知も自動化する
これらはいずれも無料(または低コスト)でできます。逆に言えば、この4つをやっていれば、フィッシング被害に遭う確率は実用上ほぼゼロまで下げられます。
なぜそう言えるのか。それは、フィッシング攻撃の主流が「ID・パスワード+ワンタイムコードを偽サイト経由で奪う」リアルタイム中継型であり、この4対策はそれぞれが 異なる層で攻撃を遮断する からです。順に本文で確認していきます。
銀行システムの「多重防御」とは何か:5層に分けて解説
金融機関のシステムが「多重防御(Defense in Depth)」で守られているとは、具体的にどういうことか。エンタープライズ金融システムでは、概ね次の5層に分けて防御策を積み上げています。
| 層 | 名前 | 主な役割 | 個人から見える形 |
|---|---|---|---|
| 1 | 境界防御 | 不正な通信を入口で遮断 | WAF・IPアドレス制限・DDoS対策(基本的に見えない) |
| 2 | 認証層 | 本人かどうかを確認 | ID/PW・SMS・TOTP・パスキー・生体認証 |
| 3 | 通信暗号化層 | 通信内容の盗聴・改ざんを防ぐ | TLS(https)・証明書・HSTS |
| 4 | アプリケーション層 | アプリ側の脆弱性対策 | セッション管理・入力チェック・取引時の追加認証 |
| 5 | 監視・検知層 | 異常な振る舞いをリアルタイムで検知 | FDS(不正取引検知)・取引通知・ログイン通知 |
なぜ5層も必要なのか
「ID/パスワードと多要素認証があれば十分では?」と感じるかもしれません。
ここで出てくる 多要素認証(MFA:Multi-Factor Authentication) とは、ID/パスワードに加えて「もう一つの要素」で本人確認する仕組みです。スマホに届くSMSコードや、指紋・顔認証がその代表例です。パスワードが漏れても、攻撃者はもう一つの要素を突破できなければ口座に侵入できません。
ID/Passに加えてもう一つの要素で認証するこの多要素認証は、金融機関のセキュリティにおいては今や当たり前の考え方です。メガバンクからネット銀行・ネット証券まで、主要金融機関のほぼすべてが何らかの形で多要素認証を採用しています。
しかし金融機関側の設計思想は 「どこか1層は必ず破られる前提で考える」 です。
たとえばこんなシナリオが想定されています。
- 利用者が偽メールに騙され、ID・パスワードを入力してしまった(→第2層が一部破られた)
- 偽サイト経由でSMSコードまで詐取されてしまった(→第2層が完全に破られた)
- それでも普段と違うIPアドレス・時間帯からのアクセスである(→第5層FDSが検知)
- FDSが取引を一時停止し、登録電話番号に確認連絡が入る(→被害発生前に止まる)
つまり、 1層の突破ではすぐに被害にならない よう設計されています。これが多重防御の核心です。
「銀行員はメールのURLを絶対クリックしない」理由
筆者の現場感覚で言うと、金融機関の中の人ほど「メール経由のリンクを踏まない」習慣が徹底されています。
金融機関の社員も、普段の生活では皆さんと同じ一般の人です。特別な能力があるわけではなく、定期的なセキュリティ研修や、職場でセキュリティ関連の情報に触れる機会が多いことで、意識が自然と高まっているのだと思います。研修で「フィッシングメールの見分け方」「URLを踏んでしまった場合の報告手順」を繰り返し学ぶことで、知識が習慣に変わっていく——その積み重ねです。
言い換えれば、同じ研修・同じ情報に触れれば、誰でも同じ意識を持てるということでもあります。
実際、金融機関によっては 不定期に「秘密裏のフィッシング訓練」 が実施されます。従業員の会社メールアドレス宛に予告なくURL付きのフィッシング模擬メールが送られ、「踏んでしまわないか」が確認されます。さらに、万が一踏んでしまった場合は所定の対応部署への通報までがセットで求められます。訓練が予告なく行われることで「常に踏まない」意識を維持する効果があり、金融機関がメールのURL不踏をいかに重視しているかが伝わります。
ID/パスワードだけでは守れない理由(漏洩データベースの現実)
多重防御を理解する前提として、なぜID/パスワード単独では危険なのかを確認しておきます。
結論:世の中には漏洩したID/パスワードの巨大なデータベースが存在し、攻撃者はそれを使い回しで突破を試みているからです。
「Have I Been Pwned」と呼ばれる現実
セキュリティ研究者のトロイ・ハント氏が運営する Have I Been Pwned(HIBP) という公開データベースには、過去に漏洩した 170億件超 のメールアドレス+パスワードが登録されています(2026年時点)。これは過去に発生した数千件のサービス漏洩事故を集約したものです。
金融機関のサービスが直接漏洩したわけではなくても、利用者が「他のサービスと同じパスワードを使い回している」場合、攻撃者は次のような手順で侵入を試みます。
- 漏洩データベースから「日本人ユーザーらしきメールアドレス+パスワード」のリストを抽出
- 銀行・証券のログイン画面に対して機械的に試行(クレデンシャル・スタッフィング攻撃)
- ヒットした口座にログインし、不正送金や不正売買を実行
攻撃者側の経済合理性
1件あたりの試行コストはほぼゼロ円なので、たとえ成功率が0.01%でも数十万件試せば数十件は通る、というのが攻撃者側の経済合理性です。だからこそ金融機関は 「ID/パスワードは漏れている前提で、他の層でも本人確認する」 設計に移行してきました。
これが多要素認証(MFA)・パスキー・FDSが必要な根本理由です。
【金融SE視点】多要素認証の中身:SMS・TOTP・パスキーの違い
ここからは多重防御の第2層「認証」の中身を、金融SE視点で解剖していきます。
ログイン時の本人確認に使われる多要素認証(MFA)には大きく3つの方式があり、それぞれ仕組みも攻撃耐性も大きく違います。
| 方式 | 仕組み | フィッシング耐性 |
|---|---|---|
| SMS認証 | スマホにSMSで届く6桁コードを入力 | △ 弱い |
| TOTP(認証アプリ) | Google Authenticator等のアプリが30秒ごとに変わるコードを生成 | ○ 中程度 |
| パスキー(FIDO2/WebAuthn) | 端末内の秘密鍵で、ログインしているサイトのURLと連動して認証 | ◎ 強い |
SMS認証はなぜ弱いのか
SMS認証は最も普及していますが、最も弱い方式です。主な攻撃手口は2つあります。
- SIMスワップ詐欺:携帯ショップに偽の本人確認書類を持ち込み、被害者のSIMを攻撃者側に再発行させる手口。SMSが攻撃者の手元に届くようになる
- リアルタイム中継型フィッシング:本物そっくりの偽サイトに被害者がID・パスワード・SMSコードを入力した瞬間、攻撃者が裏で本物サイトにログインしてしまう
警察庁の発表によれば、2025年上半期のインターネットバンキング不正送金被害額は約42億2,400万円で前年同期比約7割増となり、その手口の 約9割 がフィッシングです。特に2019年頃から、SMSコードを偽サイト経由で抜き取るリアルタイム中継型が主流になっています。
TOTP(認証アプリ)の位置づけ
TOTPはGoogle Authenticatorや1Passwordなどのアプリが、30秒ごとに変わる6桁コードを生成する方式です。SIMスワップは効きませんが、 リアルタイム中継型フィッシングに対しては依然として脆弱 です。偽サイトに6桁を入力した瞬間、攻撃者がそれをコピーして本物サイトに通してしまうからです。
中程度の耐性、と評価される所以です。
パスキー(FIDO2)の決定的な違い
パスキーは、フィッシングに対して原理的に強い 唯一の方式です。これが他の2つとの決定的な差です。
パスキーは「あなたが今アクセスしているサイトのURL(ドメイン)」と連動した暗号鍵で認証します。
- 本物のサイト(例:
example-bank.co.jp)には、その本物用の暗号鍵が登録されている - 偽サイト(例:
example-bank-login.com)でパスキーを使おうとしても、 登録されているドメインと一致しないため認証自体が成立しない - パスワード入力もコード入力もないので、ユーザーが「うっかり偽サイトに入力する」事故が原理的に起きない
つまり、パスキーは「人間が騙される」リスクを技術的に排除している仕組みです。
金融機関側の対応状況
2026年5月時点で、主要なネット銀行・ネット証券の多くがパスキーまたはFIDO2デバイス認証への対応を進めています。各社の対応状況の最新比較は、関連記事「高配当株とインデックス投資のための証券会社の選び方」のセキュリティ章でも整理しています。
不正送金検知システム(FDS)はどう動いているのか
多重防御の第5層、 不正取引検知システム(FDS:Fraud Detection System) は、認証を突破された後の「不正取引そのもの」を検知する仕組みです。
FDSが見ている主な異常パターン
筆者の現場感覚では、FDSは概ね次のような観点で異常スコアを算出しています。
- 時間帯の異常:普段ログインしない時間帯(深夜・早朝)からのアクセス
- 場所の異常:普段と違うIPアドレス・地理的位置・デバイスからのアクセス
- 取引パターンの異常:普段売買しない銘柄を急に大量売買/普段送金しない宛先への大口送金
- 挙動の異常:登録情報(電話番号・出金先口座)を変更した直後の大口出金
- 速度の異常:ログインから出金までの時間が極端に短い(人間の操作とは思えない)
これらの観点を機械学習モデルやルールベースで組み合わせ、スコアが閾値を超えると 取引を一時停止 し、登録電話番号への確認連絡や追加認証を要求します。
クレジットカードの不正検知も、まったく同じ考え方
FDSは銀行・証券だけの話ではありません。クレジットカードも同じ仕組みで不正利用を検知しています。「いつもと違うショッピング利用」を検知すると一時的にカードを止め、カード会社または加盟店からカード利用者に電話で確認を取り、本人と確認できた段階で利用を再開する——という流れです。カード業界の内側では比較的耳にする話ですが、実際に経験する一般利用者はそれほど多くはありません。それだけFDSが水面下でうまく動いており、止めるべき場面を精度よく絞り込んでいる、とも言えます。
これは「不便な誤検知」ではなく、FDSが正常に機能している証拠です。カード会社の視点では「本人か攻撃者か判断できないなら、まず止めて確認する」が正解であり、その一手間が不正利用の被害を防いでいます。
少し笑える話として、あるクレジットカード会社の社長が「パソコンを短時間に2台購入する」という行動をとったところ、自社カードの不正検知システムに引っかかり、その場でカード利用を止められてしまったという逸話があります。社長本人は怒ったそうですが、見方を変えれば「社長のカードさえも止める精度でFDSが動いている」という品質の証明でもあります。フィッシング攻撃では「普段買わないものを急いで買おうとする」パターンが典型的で、まさにこの検知ロジックが刺さる場面です。
「身に覚えのない通知」の正体
各社が「不審なログインを検知しました」「取引を一時停止しました」というアラートを出すのは、このFDSが働いている証拠です。煩わしく感じる場面もありますが、これがあるからこそ 万一認証を突破されても、被害発生前に止められる 仕組みになっています。
FDSを最大限活かすための個人側設定
FDSの精度は各社の運用に依存しますが、利用者側でも次の設定をしておくことで効果を最大化できます。
- 取引通知をすべてON:ログイン・送金・残高変動の通知を全部受け取る設定にする
- 出金先口座を本人名義に限定:登録済みの本人口座以外には出金できない設定があれば使う
- 登録メール・電話番号を最新に保つ:FDSからの確認連絡が届かないと取引が止まったまま塩漬けになる
フィッシングサイトを見抜く技術的チェックポイント5つ
ここまで多重防御の仕組みを見てきました。ここからは「そもそも偽サイトに辿り着かない」ための、利用者側の判別ポイントを5つに整理します。
ポイント1:偽サイトのURLは、必ずどこかが本物と違う
フィッシングサイトのURLは、本物そっくりに見えても 必ずどこかが違います 。例えば、
- 本物:
example-bank.co.jp - 偽物:
example-bank-login.com/example.bank-jp.com/example-bank.co.jp.security-update.xyz
ブラウザのアドレスバーで、「.co.jp」「.com」「.jp」などの直前にある単語(これが実質のドメイン)を確認するクセをつけましょう。スマホは省略表示されやすいので、URLがおかしいと感じたらアクセスをやめるのが無難です。
ポイント2:鍵マーク(https)だけでは、本物かどうか判断できない
httpsの鍵マークだけでは「通信が暗号化されている」ことしか分かりません。鍵マークをタップして 証明書の発行先を確認 すると、本物の金融機関なら法人名(例:「○○銀行株式会社」)が表示されます。逆に、ドメイン認証(DV)証明書のみで「発行先=ドメイン名だけ」のサイトは、本物の金融機関である可能性が低くなります。
ポイント3:不自然な日本語と「急かす文言」が、偽サイトを見抜く手がかりになる
機械翻訳や非ネイティブが作った文章には、次のような癖が出やすいです。
- 助詞の使い方が微妙にずれる(「お客様のは口座が」など)
- 句読点の打ち方が不自然(半角カンマ「,」が混ざる、句点が脱落する)
- 「ご本人様確認」「至急ご対応願います」「○時間以内に手続きを完了してください」など、不安を煽る定型句
特に「○時間以内に」という時間制限の文言は、 判断力を奪うための心理操作 として頻出します。冷静になって公式サイトから自分でログインし直すのが鉄則です。
ポイント4:短縮URLが使われていたら、行き先が隠されているサイン
bit.ly t.co などの短縮URLは、本物のドメインを隠す目的でフィッシングに多用されます。SMSやメールに短縮URLが含まれていたら、まず その時点でクリックしない 。どうしても確認したい場合はPCで開く前に「URL展開ツール」(unshorten系のWebサービス)で実際の遷移先を確認しましょう。
ポイント5:本物の金融機関は、メール・SMSのURLで手続きを求めてこない
スマホで金融機関のサービスを使う場合、 「メールやSMSのリンクからはアプリを起動しない」 を徹底するだけで、フィッシングの大半は防げます。公式アプリは
- ホーム画面のアイコンから直接起動する
- ブラウザならブックマークまたは検索結果(広告枠を除く)から開く
この2つだけを習慣にすれば、メール・SMS経由の偽サイト誘導は構造的に成立しなくなります。
個人が今すぐやるべき4対策(具体的な設定手順)
長くなりましたが、結論は4対策に集約されます。それぞれの具体的な設定手順を提示します。
対策1:パスキー(または生体認証)を有効化する
所要時間:5分。最も効果が高い対策です。
設定手順は概ね次の流れです(金融機関により名称が異なります)。
- メイン銀行・メイン証券にPCまたは公式アプリからログイン
- 「セキュリティ設定」「ログイン認証」「デバイス認証」等のメニューを開く
- 「パスキー」「生体認証」「FIDO2」のいずれかの登録ボタンを選択
- スマホの指紋認証・顔認証で本人確認
- 確認画面で完了
設定後は、ログイン時にパスワードの代わりに 生体認証だけで完了 するようになります。パスワード入力欄自体が消えるため、フィッシングサイトに誘導されても「入力するものがない」状態が作れます。
未対応の金融機関では、せめて TOTP(認証アプリ) を有効化しておきましょう。SMS認証のみの状態は、現代の脅威レベルには見合いません。
対策2:メール・SMSのURLは絶対にクリックしない
所要時間:習慣化の1週間。コストゼロ。
具体的な行動ルールは次の3つです。
- 銀行・証券・カード会社からのメール/SMSは、 本文のURLを絶対にクリックしない
- 内容を確認したい場合は、ブックマークまたはアプリから自分でアクセスして同じ通知があるか確認する
- もし「重要なお知らせがあります」とメールが来ていても、慌てない(本当に重要な手続きはログイン後の画面でも案内される)
この習慣だけで、リアルタイム中継型フィッシングは 入口で遮断 できます。
対策3:取引通知・ログイン通知をすべてONにする
所要時間:3分。検知のスピードを最大化する対策です。
各社の通知設定で、次の項目をすべてONにしましょう。
- ログイン通知(成功時・失敗時の両方)
- 送金・出金通知
- 残高変動通知
- 取引(売買)通知
- 登録情報変更通知(メール・電話番号・出金先口座の変更)
通知が多すぎて煩わしく感じるかもしれませんが、 身に覚えのない通知が来た瞬間に気付ける状態を作ること が、被害を最小化する最大の武器になります。届く通知の数自体が、自分の口座が動いているリアルタイム情報そのものです。
対策4:パスワードマネージャーを使い、サイトごとに別々のパスワードを設定する
所要時間:導入15〜30分。一度設定すれば日々の手間はほぼゼロです。
GoogleやAppleのパスワード管理機能(iCloudキーチェーン)、あるいは1Passwordなどの専用アプリを使い、サイトごとに異なるパスワードを登録・管理する習慣をつけましょう。
これには2つの大きなメリットがあります。
① パスワードの使い回しをなくし、認証のセキュリティが上がる
1か所で漏洩したID・パスワードが他のサービスでも通用してしまう「クレデンシャル・スタッフィング攻撃」は、パスワードの使い回しによって成立します。パスワードマネージャーを使えば、複雑でランダムなパスワードをサイトごとに自動生成・保存できるため、使い回しを完全に排除できます。
② 偽サイトへの自動入力が起動しない=URLの異常を自動検知できる
パスワードマネージャーは、登録されたドメインと一致するサイトでのみ自動入力を提案します。本物そっくりの偽サイトであっても、URLのドメインが少しでも違えば自動入力は起動しません。「いつもなら自動で出てくるのに、今日は出てこない」——この感覚が、偽サイトに気付く実用的なサインになります。URLを目で読み解かなくても、ツールが代わりに検知してくれます。
もし被害に遭ったら:72時間以内に何をするか
最後に、万が一被害に遭った場合の対応フローを整理します。 動きの速さが補償額を左右する ので、手順を頭に入れておきましょう。
1時間以内:金融機関への連絡(最優先)
身に覚えのないログイン通知・取引通知が来たら、まず利用している金融機関のコールセンターに連絡し、 口座の利用停止(凍結) を依頼します。これにより、進行中の不正送金や売買を止められる可能性があります。
主要金融機関の不正利用専用窓口は24時間対応の場合が多いので、深夜でも遠慮せず連絡してください。
24時間以内:警察への被害届と関係機関への連絡
- 警察への通報:最寄りの警察署またはサイバー犯罪相談窓口(各都道府県警)に被害届を提出。後の補償交渉や捜査で必要になります
- クレジットカード会社への連絡:口座と紐づくカードがあれば不正利用停止を依頼
- 他の金融機関の確認:同じパスワードを他のサービスで使っていた場合、すべて変更
72時間以内:補償の請求と再発防止策
全国銀行協会の 「預金等の不正な払戻しへの対応について」 の申し合わせに基づき、個人預金者の不正払戻し被害は、過失の程度に応じて補償される枠組みがあります。具体的には次の通りです。
- 預金者に過失がない/軽過失の場合:原則として全額または相当額が補償される枠組み
- 重過失がある場合(暗証番号を口座番号と同じにしていた、家族・他人に番号を教えていた等):補償対象外となる場合がある
ただし、補償の判定は個別事案ごとに各金融機関が行うため、 本記事の記述で補償可否を断定するものではありません 。被害発生時は速やかに金融機関の所定の補償申請手続きを行ってください。
証券口座の不正取引被害については、各証券会社の規約に基づく対応となり、銀行とは枠組みが異なります。被害発生時は証券会社の不正取引対応窓口に確認してください。
動きの遅れが補償に影響する理由
補償判定では「被害発覚から金融機関への通報までの時間」が重要な要素となります。気付いたら 即時連絡 がベストプラクティスです。
まとめ──「過度に怖がる必要はない、ただ最低限の対策はやる」
本記事を要約すると、次の通りです。
- 金融機関のシステムは 5層の多重防御(境界・認証・通信・アプリ・監視) で守られている
- ID/パスワードは「漏れている前提」で設計されており、多要素認証・FDSが2重3重の備えになっている
- 多要素認証の中でも パスキー(FIDO2)はフィッシングに原理的に強い 唯一の方式
- 利用者側は パスキー有効化/メール・SMSのURL不踏/取引通知すべてON/パスワードマネージャー活用 の4対策で十分
- 万一被害に遭ったら、 1時間以内に金融機関へ連絡、24時間以内に警察と関係機関へ
ネット銀行・ネット証券は「危ないから使わない」のではなく、「最低限の対策をやった上で安心して使う」のが正解です。過度に怖がる必要はありませんが、4対策をやらずに使うのもまた別のリスクを抱えることになります。
最後に、本記事の読後アクションを1つだけお伝えします。
この記事を閉じる前に、自分のメイン銀行・メイン証券のパスキー設定を一度確認してください。「セキュリティ設定」または「ログイン認証」のメニューから5分で終わります。未対応であれば、せめてTOTP(認証アプリ)の有効化を。これだけで、本記事で説明した攻撃の大部分は届かなくなります。
関連記事
- 銀行の勘定系システムがクラウド化される背景|金融SEが見る変革の本質——多重防御の土台にある勘定系システムそのものの構造を解説
- 全銀ネットの仕組み|日本の銀行間送金を支える決済システム——口座から口座へのお金の流れを支える基盤
- ネット銀行のおすすめ2026年版|金融SEが選ぶメイン口座とサブ口座の使い分け——多重防御の前提となる「使う銀行」の選び方
- 高配当株とインデックス投資のための証券会社の選び方——証券会社のセキュリティ比較を含む口座選び
参考
- 警察庁「サイバー空間をめぐる脅威の情勢」(不正送金・フィッシング統計)
- フィッシング対策協議会(月次フィッシング報告状況・年次レポート)
- 金融庁(インターネットバンキングの不正利用に関する注意喚起)
- 全国銀行協会「預金等の不正な払戻しへの対応について」
- Have I Been Pwned(漏洩アカウント確認サービス)
- FIDO Alliance(パスキー・FIDO2の標準化団体)
- 両学長 リベラルアーツ大学(YouTube)——「お金を守る力」全般の入門解説
- リベシティ——お金にまつわる学びと実践のコミュニティ
