【SBI証券の不正アクセス】証券口座はお金の安全な保管場所だよ

ネット銀行・証券
ネット銀行・証券

こんにちは、そーたろー(@sotarowassyoi)です。

 

  • SBI証券の不正アクセスによる顧客資産流出事件の概要をお伝えします。
  • 証券口座がお金の安全な保管場所であることに変わりはありませんので、利用者が注意すべき点を紹介します。

 

そーたろー
そーたろー

ここはどんなブログなの?

  • お金、投資、資産運用、副業が中心のブログです。

 

そーたろー

この記事を書いたそーたろーはこんな人です。

  • ITサービス職で20年以上のキャリアがあります。
  • 2008年から資産運用を始め、ネット証券・ネット銀行の安全な使い方に長けています。

 

そーたろー

この記事は次のような人にオススメです

  • SBI証券の不正アクセス事件で不安になった人

 

スポンサーリンク

この記事の目的

2020年9月、SBI証券で不正アクセスによる顧客資産の流出事件がありました。

つい先日、ドコモ口座を悪用した不正送金事件が発覚しており、サイバー犯罪が続いていますね。

ドコモ口座の不正送金から学ぶサイバー犯罪対策【資産運用】
NTTドコモが提供する「ドコモ口座」という電子マネーサービスを悪用した不正送金事件があったので私なりのサイバー犯罪対策の考え方を紹介します。 ドコモ口座を悪用した不正送金が心配な人 ...

今回はSBI証券で不正アクセスによって顧客資産が流出してしまったわけですが、私個人としては証券口座は依然としてお金の安全な保管場所であるという考え方に変わりはありません。

そこでこの記事では事件の概要と、証券口座を安全に使うために利用者が注意すべき点などを紹介します。

 

SBI証券の不正アクセス事件

事件の概要は以下のとおりです。

  • 不正アクセスにより顧客口座から9864万円が流出した
  • 被害にあったのは6口座
  • 出金先はゆうちょ銀行、三菱UFJ銀行
  • 犯人は偽造した本人確認書類などを利用し、銀行口座そのものを不正に開設した
  • SBI証券は自社システムからのIDやパスワードの流出を否定している
  • 不正ログインはリスト型攻撃だった可能性がある

以下はセキュリティインシデントに詳しいpiyokangoさんの解説です。

なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた | piyolog

以下はSBI証券のプレスリリースです。

悪意のある第三者による不正アクセスに関するお知らせ | SBI証券

 

事件のポイント

今回の事件は不正送金事件としては新しい手口だったのではないでしょうか。

ポイントとしては以下の点があげられます。

  • 不正アクセスがリスト型攻撃だった可能性
  • 銀行口座がなりすましで開設された

前者のリスト型攻撃というのは、どこか他のサイトのIDとパスワードの組み合わせリストが流出し、攻撃者がそのリストを使って不正アクセスする方法です。

つまり異なるサイト間でIDとパスワードの使いまわしをしていた可能性があったかもしれないということです。

事実であれば、このあたりは利用者による基本的なサイバー犯罪対策の範囲でしょう。

今すぐできるセキュリティ&不正送金対策13選【資産運用】
資産運用をする上で知っておくべきセキュリティ対策を紹介します。 ネット銀行の不正送金などにも大きな効果が期待できます。 自分の口座資産を守りたい人 お...

なお資産の売却については「取引パスワード」が必要なはずですが、この点についてはわかっていません。

私の推測にすぎませんが、ID、パスワード、取引パスワードなど一式が盗まれていたのではないでしょうか?

後者の銀行口座のなりすまし開設はあまり聞いたことがありませんが可能なんですね。

多くの証券口座では、証券口座と出金先の銀行口座の名義人が一致していないと出金先銀行口座を登録できないため、証券口座がサイバー犯罪に強い一面でした。

しかし肝心の銀行口座がなりすましで開設されてしまったらこの強みは崩れてしまいます。

ここは銀行側の今後の課題になるでしょうか。

2020年11月10日 出し子の摘発

不正に開設された銀行口座から現金を引き出したとして、埼玉県警は10日、いずれも同県川口市に住む中国籍の少年(19)と少女(19)を窃盗容疑で逮捕した。2人は容疑を認め、少年は「ネット上で知り合った中国人から指示を受けた」と説明しているといい、県警は組織的な犯行とみて調べる。

SBI証券現金流出 「出し子」中国人2人逮捕 窃盗容疑で 埼玉県警 | 毎日新聞

SBI不正出金 組織的犯行か 窃盗容疑の中国籍少年ら2人「ネットで指示受けた」 | Yahoo!ニュース

 

SBI証券による再発防止策

SBI証券は本件に対して具体的な再発防止策を発表しています。

  • (1)監視
    • 不正アクセスに対する24時間モニタリング体制のさらなる強化
    • 不正アクセス検知システム(WAF)による新たな攻撃手法への対応
    • 不審なIPアドレスからのアクセス排除(IPレピュテーションサービスの一層の活用)
  • (2)認証
    • 一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
    • 普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
    • お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入
    • 当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化
  • (3)本人確認
    • 出金先銀行口座登録における本人確認の強化
  • (4)その他
    • 出金先銀行との連携強化(ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり)
    • 直接の出金を防止するATMカードの廃止(本年6月30日公表済み、10月3日廃止予定)
    • EVERSPINによるダイナミックセキュリティ技術の導入(当社およびSBIネオモバイル証券のスマホアプリに導入済み)
      • ①スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
      • ②ソースコード暗号化機能
      • ③URLの暗号化機能 など

今回の不正アクセスがリスト型攻撃であった場合、異なる組み合わせのログインのリクエストが大量に発生するでしょうから(1)監視の部分で検出・排除が期待できそうです。

不正アクセスそのものについては(2)認証の二要素認証、ログインアラート、リスクベース認証で排除できそうです。

証券口座は出金先口座の名義人が一致していることが不正送金の防止策になっている一方で、不正アクセス・不正送金対策については銀行より遅れています。

今回の事件では証券口座が持つ「出金先口座の名義人一致」の強みが瓦解していますので、今後はSBI証券の発表したような施策が必須になるでしょう。

少し前にサクソバンク証券でも顧客情報の流出事件があり、その対策としてSMSによる二要素認証が導入されています。

サクソバンク証券のセキュリティと安全性を確認したよ【資産保護】
外国株オプション取引口座として今年2020年にサクソバンク証券で口座開設したので、セキュリティや資産保護の安全性などを確認しました。 サクソバンク証券で口座開設を検討している人 ...

SBI証券もグループ会社の住信SBIネット銀行と同程度のスマホ認証が導入されるとよいですね。

(3)本人確認については出金先口座のWebサイト上での変更を停止し、本人確認が可能な郵送による変更手続きでのみ受け付けに変更、とのことです。

書面での手続きは煩わしいですが、より厳格な確認が必要との判断であれば仕方ないですね。

ドコモ口座の件では新しい本人確認の手段としてeKYC(オンラインによる本人確認)が期待されていますが、今後はこうした技術も導入されていくのではないでしょうか。

追記:2020年11月27日 手続き時のメール通知の導入

ご登録情報変更・出金時等のメール配信について(2020/11/27~) | SBI証券

追記:2021年1月29日 登録者情報のマスキング対応開始

当社サイトにおけるお客さま情報のマスキング対応について | SBI証券

追記:2021年1月22日 不正アクセスの調査報告

悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について | SBI証券

こちらについては以下の記事で要約を紹介しています。

SBI証券から不正アクセス事件の調査報告、要点紹介【お金の安全】
2020年9月に発覚したSBI証券の不正アクセス事件について調査報告が出たので紹介します。ポイントを押さえてお金の安全を確保しましょう。 ネット証券で口座開設をしようと考えている人 ...

 

【追記】金融庁の対応

今回のSBI証券の事件や2020年7月に発生したサクソバンク証券の顧客情報漏えい事件を受けて、金融庁は2020年9月17日に金融先物取引業協会に対して以下の要請を実施しています。

オンライン取引サービスを顧客に提供する金融商品取引業者におけるシステムリスク管理態勢の自主点検及び顧客被害の発生状況の確認について | 金融庁

要請の中で金融庁は協会員に対して以下の自主点検と確認を指示し、1か月以内を目途に報告を求めています。

  1. システムリスク管理態勢の自主点検
    1. 情報セキュリティ管理
    2. サイバーセキュリティ管理
    3. 外部委託管理
  2. 顧客被害の発生状況の確認

こちらについても経過を見守っていきましょう。

 

スポンサーリンク

大手ネット証券の動向

今回SBI証券が発表した再発防止策は他の証券会社にも求められる施策です。

我々利用者はどこの証券会社のサイバー犯罪対策が充実しているかを見守っていく必要があるでしょう。

 

楽天証券の場合

証券口座・出金先銀行口座の管理に関するお願い | 楽天証券

「出金先銀行口座」のウェブサイトからの登録・変更の停止につきまして | 楽天証券

楽天証券では、9月17日(木)から当面の間、出金先銀行口座のウェブサイトからの登録および変更を停止させていただきます。郵送による手続きのみ受け付けております。

出金先銀行口座の取り扱いに緊急対応が発動しています。

楽天証券のセキュリティへの取り組み | 楽天証券

お客様口座からの出金依頼を受け付けた際には、ご登録いただいているメールアドレス宛に通知します。ご登録のメールアドレスを変更された際は、新たにご登録されるメールアドレスのほか、現在ご登録いただいているメールアドレス宛にも通知します。

楽天証券の場合は出金依頼でメール通知が発生し、メールアドレスの変更時にも通知が来るのでメールを確認していれば気づくことができそうです。

また楽天証券では「セコムあんしんログイン」という取り組みがあります。

セコムあんしんログイン | 楽天証券

  1. 安全で堅牢な二経路/多要素認証!
  2. 認証キーを安全に保管!不正ログインの心配が軽減
  3. 設定は簡単!さまざまなアプリ・サービスに順次拡大

セコムあんしんログインは、対応範囲を今後順次拡大予定です。出金時や、ご登録情報の変更時の本人確認など、さまざまなサービス、デバイスでより便利にご利用いただけるようになる予定です。(2018年10月28日現在:マーケットスピード II のログインにご利用頂けます)

現時点ではマーケットスピード IIのみの対応で、しばらくこの状態が続いていますが、今回の事件を受けて対応が加速することに期待したいと思います。

追記:2020年10月1日に楽天証券から不正送金に対する防止策が発表されています。

楽天証券から不正アクセス・不正出金の防止策が発表されたよ【注目】
SBI証券の不正送金事件を受けて楽天証券から不正アクセス・不正出金に関する防止策が発表されたので紹介します。 楽天証券のサイバーセキュリティ対策に関心がある人 この記事の目...

追記:2020年11月19日に楽天証券から出金時のSMS認証導入が発表されています。

出金関連手続きへの二要素認証導入について(11月29日~) | 楽天証券

 

マネックス証券の場合

不正アクセスに対し、どのようなことに気をつければよいですか? | マネックス証券

  1. いつもと異なるログインをメールで通知
  2. 出金先口座を変更したらメールで通知

マネックス証券も楽天証券と同様に出金先口座の変更はメール通知が発生します。

登録メールアドレスはどのように変更するのですか? | マネックス証券

しかし登録メールアドレスの変更については通知の有無が明記されていませんでした。

もしメールアドレスの変更の通知が発生しないとなると、出金先口座の変更前にメールアドレスを変更されてしまうとお手上げですので確認してみました。

マネックス証券の回答は以下のとおりでした。

  • 登録メールアドレスの変更については通知や仮登録といった仕組みはないが、先にあげた「いつもと異なるログインをメールで通知」機能で補っている
    • セキュリティの強化は重要な課題だと認識しており、メールアドレス変更時のお知らせ対応については要望として預かって社内で共有する
  • 任意で「MYログイン」サービスを利用できる
    • 「MYログイン」では選択した質問(「秘密の質問」)が表示され、正解しない限りログインできない

メールアドレスの変更通知の仕組みはないものの、ログ解析でユーザーを分析して異常を知らせてくれますので、こちらは一定の効果が期待できるでしょう。

一方でMYログインですが、こちらは「秘密の質問」ということで、残念ながらあまりセキュリティ効果は見込めないのではないでしょうか。

MYログイン | マネックス証券

「秘密の質問」というのはいわゆる二段階認証です。

単にパスワードが2つになっただけなので、大して意味がないというのが最近のITセキュリティの常識になりつつあります。

出金先口座の変更はどのようにすればよいですか? | マネックス証券

※昨今、様々な金融機関口座への第三者による不正アクセスが発生しているため、当社ではセキュリティ対策の一環として、当面書面のみで受付させていただきます。

出金先口座の変更についてはSBI証券の不正アクセス事件を受けて早速書面のみに変更されていました。

その後、2020年12月にマネックス証券は出金時のワンタイムパスワード認証(多要素認証)を導入しています。

マネックス証券がワンタイムパスワードで出金時の不正送金対策を開始
マネックス証券が不正送金対策として出金時のワンタイムパスワード(二要素認証)に対応開始したので紹介します。 TOTP(認証アプリ)を利用する際のコツなども紹介します。 ...

多要素認証は不正送金に対して非常に効果的な対策ですので、マネックス証券は迅速で的確な対応を行っていますね。

マネックス証券のおすすめ理由4つ【iDeCo、米国・中国株など】
マネックス証券をおすすめするポイントとしてiDeCo、米国/中国株、暗号資産CFD、Coincheckの4点に絞って紹介します。 証券総合口座の開設を検討している人 この記...

 

スポンサーリンク

証券口座はお金の安全な保管場所です

今回の事件も無差別な対象に発生しているわけではないでしょう。

もしリスト型攻撃が事実なら利用者の運用に課題があったかもしれません。

そもそも出金先口座を変更されたり、勝手に口座内の資産を売却されたりして気づかないものなのか個人的にはイマイチ腑に落ちません。

結局いつもの「弱いところが狙われる」という部分は変わっていないように思います。

私はサイバー犯罪に関しては、やることをやっておけばほぼ問題ないと考えています。

今すぐできるセキュリティ&不正送金対策13選【資産運用】
資産運用をする上で知っておくべきセキュリティ対策を紹介します。 ネット銀行の不正送金などにも大きな効果が期待できます。 自分の口座資産を守りたい人 お...

お金の安全が完璧に保証された場所というのは現実的に存在しませんし、もしあったとしても非常に高いコストが掛かるでしょう。

そういった意味では消去法で考えても、最低限のお作法さえ守っておけば証券口座でお金を保管するのは理にかなっているはずです。

【資産運用&お金の保管場所】銀行口座にお金を置くのは安全なの?
使わないお金の安全な保管場所としては個人向け国債か、待機資金の場合は銀行口座よりも証券口座の方が優れているのではないか、という考え方を紹介します。 お金の安全な保管場所に関心...

 

スポンサーリンク

まとめ

SBI証券の不正アクセスによる顧客資産の流出事件を紹介しました。

今回の事件でも「弱いところが狙われる」いつもの構図が見えてきます。

利用者が最低限の対策さえ講じていれば、証券口座がお金を安全に保管できる場所であることに変わりはないでしょう。

\ この記事をシェアする /
\そーたろーをフォローする/
スポンサーリンク
そーたろーの「王国DIYガイド」