不正アクセスから資産を守る方法【自分自身でお金を守る】

2020 年 9 月、SBI 証券で不正アクセスにより、約 1 億円が流出した事件をご存じでしょうか？

SBI証券、顧客資金9864万円が流出　偽口座に送金 - 日本経済新聞

インターネット証券のSBI証券は16日、顧客の6口座から約9864万円が流出したと発表した。第三者が証券口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行に作った偽の銀行口座に送金・出金したという。SBI証券は全額を補償する方針。複数の電...

www.nikkei.com

SBI 証券は、ネット証券会社の口座開設数のシェア No.1 です。
業界をリードする証券会社で不正アクセスが起こったことは、私を含め、多くの利用者が驚いたことと思います。

こんな人のための記事です。

この記事では、SBI 証券でどのような事件が起こったのか確認した後、個人でできるセキュリティ対策についてまとめていきます。

SBI証券の不正アクセス事件

SBI証券で、何が起こったか

2020 年 9 月、SBI 証券は顧客アカウントへの不正ログインにより、9,864 万円の資産が、顧客口座から流出したと発表しました。
参考： SBI 証券「悪意のある第三者による不正アクセスに関するお知らせ」

SBI 証券からの資産流出は、

1. SBI 証券の顧客アカウントへ不正ログイン。
2. SBI 証券口座に登録している顧客情報をコピー。
   偽造した本人確認書類を用いて、SBI 証券と同一名義の銀行口座を開設。
3. 顧客アカウントが保有する有価証券を売却。
4. 並行して、出金先の銀行口座を、不正に開設した口座へ変更。
5. 売却して得られた資金を不正口座へ送金。その後、不正口座からお金を引き出し。

といった流れで行われました。

ここでのポイントは、一番最初の「顧客アカウントへ不正ログイン」の点です。
顧客アカウント (ID とパスワード) が悪意のある第三者へ知られてしまった場合、SBI 証券が不正ログインを検出することは困難です。

事実、この被害は顧客申告により発覚しました。

2020年9月7日に寄せられた身に覚えのない取引があったとのお客さまからのお申し出を端緒として、当該お客さまのログ調査等により、不審なアクセス元を特定し、そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析いたしました。その結果、悪意のある第三者による不正アクセスが行われ、お客さまの有価証券の売却およびお客さま名義の出金先銀行口座への出金を複数件、確認いたしました。

出展：SBI証券「悪意のある第三者による不正アクセスに関するお知らせ」

今回の犯行では、不正アクセスを受けた SBI 証券の顧客アカウントと同一名義で開設された「なりすまし口座」が使用されました。

当社からの出金は、お客さま本人名義の出金先銀行口座のみに限定されておりますが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明しております。

出展：SBI証券「悪意のある第三者による不正アクセスに関するお知らせ」

顧客アカウント (IDとパスワード) 流出の原因

このSBI証券のニュースリリースから、資産流出の直接的な原因は、顧客アカウントの不正流出にあると考えられます。

証券口座の不正アクセスについて、SBI証券は社内システムに侵入された形跡はないとし、「リスト型アカウントハッキング」と呼ばれる手口だったとみている。

出展：朝日新聞デジタル「SBI証券の6口座に不正ログイン　9864万円被害」

記事によると、「リスト型アカウントハッキング」により、顧客アカウントが不正に流出した可能性があるとしています。

「リスト型アカウントハッキング」は、他社の web サービスなどから流出したアカウントのリストを使って、別の web サービスに対して不正ログインを試みる攻撃のことです。
これは、ユーザー側が同一のパスワードを、複数の web サービスで使いまわすことが多いという傾向を利用しています。

web サイトの脆弱性を利用する方法で、事前に入手したパスワードリストを使って、ログインの試行を繰り返します。
そして、ログインが成功した webサイト から顧客の個人情報を盗みます。

この方法では、特定の IP アドレスから、複数の ID に対して、数百～数万回もの不正なログインが試行されます。
しかし、一つの ID に対するログインの試行は、1 ～ 2 回であることから、顧客のログイン思考と区別することが難しい特徴を持っています。

このため、web サービス提供者側から「リスト型アカウントハッキング」を防ぐことは、非常に難しいです。

不正アクセスから資産を守る方法

SBI証券の対策①：一部顧客の出金停止、パスワード強制リセット

この事案が判明してすぐに、SBI 証券では以下の処置を行いました。

• 不正アクセスの危険性があると考えられる顧客を幅広く特定して、「出金停止」「パスワード強制リセット」などの措置を実行。
• 全ての顧客に対して、web サイトでの出金先の銀行口座を変更する受付を停止。住所などの詳細な本人確認ができる郵送による変更手続きのみ受付。

さらに、再発防止策として有効な施策を実施するとしています。
顧客手持ちのスマートフォンなど、特定端末からのアクセスのみを許可する機能の導入などを検討しているようです。
参考： SBI 証券「悪意のある第三者による不正アクセスに関するお知らせ」

SBI証券の対策②：パスワード変更していない場合、強制リセット

さらに今回の事案発生後、顧客による「ログインパスワード」の変更が確認できない場合、SBI 証券は「ログインパスワード」と「取引パスワード」を強制リセットする判断をしました。

先般、当社からのプレスリリース（2020/9/16付「悪意のある第三者による不正アクセスに関するお知らせ」）にてご案内いたしましたように、第三者による不正アクセスが発生いたしました。当社では、これを受けまして、必要な対策を実施しております。
2021/1/20(水)　9:00時点で、「ログインパスワード」のご変更を確認できない場合、誠に勝手ながら、当社にて「ログインパスワード」および「取引パスワード」を順次リセットさせていただくこととなります。
（改めてログインパスワードの変更をお願いする画面を表示する際には、当社WEBサイトのほか、対象のお客さまには予めメッセージボックス＞重要なお知らせにてご案内いたします。）

出展：SBI証券「【重要】パスワード変更のお願いとパスワードリセットについて」

対象の顧客には、メッセージボックスを使って、事前に連絡がなされるとのことです。

なお、「ログインパスワード」と「取引パスワード」を SBI 証券が強制リセットした後は、顧客が郵送で再発行請求する必要があります。
参考：SBI証券「【重要】パスワード変更のお願いとパスワードリセットについて」

利用者側でできる具体的なセキュリティ対策

今回の事案では、「リスト型アカウントハッキング」が、顧客アカウントへの不正ログインの推定原因です。

「リスト型アカウントハッキング」は、サービスの利用者が複数のサービスにおいて、同じパスワードを使いまわすケースが多いことに着目した攻撃です。web サービス提供者側から「リスト型アカウントハッキング」を防ぐことは非常に難しいため、利用者側での対策が重要となります。

利用者側での対策には、以下のようなものがあります。

• ID・パスワードの使いまわしをしない。
• 休眠アカウントを停止する。
• 何らかの手段により、ID・パスワードがリスト化された場合を想定して、定期的なパスワードの更新を行う。
• 例えば、ログインのメール通知など、ログイン履歴を把握できる環境を整える。
• ログインの二重認証を使用する。

セキュリティ対策は、コストに対して効果が見えにくいため、まずは簡単なところから対策を進めたいところです。

まとめ：資産を守るのは自分自身

2020 年 9 月に SBI 証券で起こった、金融資産の流出事件を紹介しました。

この事件で使われた「リスト型アカウントハッキング」は、サービスの利用者が複数のサービスにおいて、同じパスワードを使いまわすケースが多いことに着目した攻撃です。
そのため、SBI 証券のようなサービス提供側で対策が難しく、顧客個人での対策が必要です。

そのため、今回の事案後、顧客による「ログインパスワード」の変更が確認できない場合、SBI 証券は「ログインパスワード」と「取引パスワード」を強制リセットする判断をしました。

その他、個人の対策としては、ID・パスワードの使いまわしをしない、休眠アカウントを停止する、などが挙げられます。
一方で、セキュリティ対策は、コストに対して効果が見えにくいため、まずは簡単なところから対策を進めていきたいところです。

ご参考になりましたら幸いです。