こんにちは。『お金に困らない生活(インデックス投資ブログ)』管理人のそーたろー(@sotarowassyoi)です。
ここはどんなブログなの?
- お金、投資、資産運用、副業が中心のブログです。
この記事を書いたそーたろーはこんな人です。
- ITサービス職で20年以上のキャリアがあります。
- 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。
この記事は次のような人にオススメです
- SBI証券の不正アクセス事件で不安になった人
この記事の目的
2020年9月、SBI証券で不正アクセスによる顧客資産の流出事件がありました。
つい先日、ドコモ口座を悪用した不正送金事件が発覚しており、サイバー犯罪が続いていますね。
今回はSBI証券で不正アクセスによって顧客資産が流出してしまったわけですが、私個人としては証券口座は依然としてお金の安全な保管場所であるという考え方に変わりはありません。
そこでこの記事では事件の概要と、証券口座を安全に使うために利用者が注意すべき点などを紹介します。
SBI証券の不正アクセス事件
事件の概要は以下のとおりです。
以下はセキュリティインシデントに詳しいpiyokangoさんの解説です。
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた | piyolog
以下はSBI証券のプレスリリースです。
悪意のある第三者による不正アクセスに関するお知らせ | SBI証券
事件のポイント
今回の事件は不正送金事件としては新しい手口だったのではないでしょうか。
ポイントとしては以下の点があげられます。
前者のリスト型攻撃というのは、どこか他のサイトのIDとパスワードの組み合わせリストが流出し、攻撃者がそのリストを使って不正アクセスする方法です。
つまり異なるサイト間でIDとパスワードの使いまわしをしていた可能性があったかもしれないということです。
事実であれば、このあたりは利用者による基本的なサイバー犯罪対策の範囲でしょう。
なお資産の売却については「取引パスワード」が必要なはずですが、この点についてはわかっていません。
私の推測にすぎませんが、ID、パスワード、取引パスワードなど一式が盗まれていたのではないでしょうか?
後者の銀行口座のなりすまし開設はあまり聞いたことがありませんが可能なんですね。
多くの証券口座では、証券口座と出金先の銀行口座の名義人が一致していないと出金先銀行口座を登録できないため、証券口座がサイバー犯罪に強い一面でした。
しかし肝心の銀行口座がなりすましで開設されてしまったらこの強みは崩れてしまいます。
ここは銀行側の今後の課題になるでしょうか。
2020年11月10日 出し子の摘発
不正に開設された銀行口座から現金を引き出したとして、埼玉県警は10日、いずれも同県川口市に住む中国籍の少年(19)と少女(19)を窃盗容疑で逮捕した。2人は容疑を認め、少年は「ネット上で知り合った中国人から指示を受けた」と説明しているといい、県警は組織的な犯行とみて調べる。
SBI証券現金流出 「出し子」中国人2人逮捕 窃盗容疑で 埼玉県警 | 毎日新聞
SBI不正出金 組織的犯行か 窃盗容疑の中国籍少年ら2人「ネットで指示受けた」 | Yahoo!ニュース
SBI証券による再発防止策
SBI証券は本件に対して具体的な再発防止策を発表しています。
- (1)監視
- 不正アクセスに対する24時間モニタリング体制のさらなる強化
- 不正アクセス検知システム(WAF)による新たな攻撃手法への対応
- 不審なIPアドレスからのアクセス排除(IPレピュテーションサービスの一層の活用)
- (2)認証
- 一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
- 普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
- お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入
- 当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化
- (3)本人確認
- 出金先銀行口座登録における本人確認の強化
- (4)その他
- 出金先銀行との連携強化(ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり)
- 直接の出金を防止するATMカードの廃止(本年6月30日公表済み、10月3日廃止予定)
- EVERSPINによるダイナミックセキュリティ技術の導入(当社およびSBIネオモバイル証券のスマホアプリに導入済み)
- ①スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
- ②ソースコード暗号化機能
- ③URLの暗号化機能 など
今回の不正アクセスがリスト型攻撃であった場合、異なる組み合わせのログインのリクエストが大量に発生するでしょうから(1)監視の部分で検出・排除が期待できそうです。
不正アクセスそのものについては(2)認証の二要素認証、ログインアラート、リスクベース認証で排除できそうです。
証券口座は出金先口座の名義人が一致していることが不正送金の防止策になっている一方で、不正アクセス・不正送金対策については銀行より遅れています。
今回の事件では証券口座が持つ「出金先口座の名義人一致」の強みが瓦解していますので、今後はSBI証券の発表したような施策が必須になるでしょう。
少し前にサクソバンク証券でも顧客情報の流出事件があり、その対策としてSMSによる二要素認証が導入されています。
SBI証券もグループ会社の住信SBIネット銀行と同程度のスマホ認証が導入されるとよいですね。
(3)本人確認については出金先口座のWebサイト上での変更を停止し、本人確認が可能な郵送による変更手続きでのみ受け付けに変更、とのことです。
書面での手続きは煩わしいですが、より厳格な確認が必要との判断であれば仕方ないですね。
ドコモ口座の件では新しい本人確認の手段としてeKYC(オンラインによる本人確認)が期待されていますが、今後はこうした技術も導入されていくのではないでしょうか。
追記:2020年11月27日 手続き時のメール通知の導入
ご登録情報変更・出金時等のメール配信について(2020/11/27~) | SBI証券
追記:2021年1月29日 登録者情報のマスキング対応開始
当社サイトにおけるお客さま情報のマスキング対応について | SBI証券
追記:2021年1月22日 不正アクセスの調査報告
悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について | SBI証券
こちらについては以下の記事で要約を紹介しています。
【追記】金融庁の対応
今回のSBI証券の事件や2020年7月に発生したサクソバンク証券の顧客情報漏えい事件を受けて、金融庁は2020年9月17日に金融先物取引業協会に対して以下の要請を実施しています。
オンライン取引サービスを顧客に提供する金融商品取引業者におけるシステムリスク管理態勢の自主点検及び顧客被害の発生状況の確認について | 金融庁
要請の中で金融庁は協会員に対して以下の自主点検と確認を指示し、1か月以内を目途に報告を求めています。
こちらについても経過を見守っていきましょう。
大手ネット証券の動向
今回SBI証券が発表した再発防止策は他の証券会社にも求められる施策です。
我々利用者はどこの証券会社のサイバー犯罪対策が充実しているかを見守っていく必要があるでしょう。
楽天証券の場合
「出金先銀行口座」のウェブサイトからの登録・変更の停止につきまして | 楽天証券
楽天証券では、9月17日(木)から当面の間、出金先銀行口座のウェブサイトからの登録および変更を停止させていただきます。郵送による手続きのみ受け付けております。
出金先銀行口座の取り扱いに緊急対応が発動しています。
お客様口座からの出金依頼を受け付けた際には、ご登録いただいているメールアドレス宛に通知します。ご登録のメールアドレスを変更された際は、新たにご登録されるメールアドレスのほか、現在ご登録いただいているメールアドレス宛にも通知します。
楽天証券の場合は出金依頼でメール通知が発生し、メールアドレスの変更時にも通知が来るのでメールを確認していれば気づくことができそうです。
また楽天証券では「セコムあんしんログイン」という取り組みがあります。
セコムあんしんログインは、対応範囲を今後順次拡大予定です。出金時や、ご登録情報の変更時の本人確認など、さまざまなサービス、デバイスでより便利にご利用いただけるようになる予定です。(2018年10月28日現在:マーケットスピード II のログインにご利用頂けます)
現時点ではマーケットスピード IIのみの対応で、しばらくこの状態が続いていますが、今回の事件を受けて対応が加速することに期待したいと思います。
追記:2020年10月1日に楽天証券から不正送金に対する防止策が発表されています。
追記:2020年11月19日に楽天証券から出金時のSMS認証導入が発表されています。
出金関連手続きへの二要素認証導入について(11月29日~) | 楽天証券
マネックス証券の場合
不正アクセスに対し、どのようなことに気をつければよいですか? | マネックス証券
マネックス証券も楽天証券と同様に出金先口座の変更はメール通知が発生します。
登録メールアドレスはどのように変更するのですか? | マネックス証券
しかし登録メールアドレスの変更については通知の有無が明記されていませんでした。
もしメールアドレスの変更の通知が発生しないとなると、出金先口座の変更前にメールアドレスを変更されてしまうとお手上げですので確認してみました。
マネックス証券の回答は以下のとおりでした。
メールアドレスの変更通知の仕組みはないものの、ログ解析でユーザーを分析して異常を知らせてくれますので、こちらは一定の効果が期待できるでしょう。
一方でMYログインですが、こちらは「秘密の質問」ということで、残念ながらあまりセキュリティ効果は見込めないのではないでしょうか。
「秘密の質問」というのはいわゆる二段階認証です。
単にパスワードが2つになっただけなので、大して意味がないというのが最近のITセキュリティの常識になりつつあります。
出金先口座の変更はどのようにすればよいですか? | マネックス証券
※昨今、様々な金融機関口座への第三者による不正アクセスが発生しているため、当社ではセキュリティ対策の一環として、当面書面のみで受付させていただきます。
出金先口座の変更についてはSBI証券の不正アクセス事件を受けて早速書面のみに変更されていました。
その後、2020年12月にマネックス証券は出金時のワンタイムパスワード認証(多要素認証)を導入しています。
多要素認証は不正送金に対して非常に効果的な対策ですので、マネックス証券は迅速で的確な対応を行っていますね。
証券口座はお金の安全な保管場所です
今回の事件も無差別な対象に発生しているわけではないでしょう。
もしリスト型攻撃が事実なら利用者の運用に課題があったかもしれません。
そもそも出金先口座を変更されたり、勝手に口座内の資産を売却されたりして気づかないものなのか個人的にはイマイチ腑に落ちません。
結局いつもの「弱いところが狙われる」という部分は変わっていないように思います。
私はサイバー犯罪に関しては、やることをやっておけばほぼ問題ないと考えています。
お金の安全が完璧に保証された場所というのは現実的に存在しませんし、もしあったとしても非常に高いコストが掛かるでしょう。
そういった意味では消去法で考えても、最低限のお作法さえ守っておけば証券口座でお金を保管するのは理にかなっているはずです。
まとめ
SBI証券の不正アクセスによる顧客資産の流出事件を紹介しました。
今回の事件でも「弱いところが狙われる」いつもの構図が見えてきます。
利用者が最低限の対策さえ講じていれば、証券口座がお金を安全に保管できる場所であることに変わりはないでしょう。