SBI証券で不正出金、直ちにスマホ認証を導入せよ

SBI証券は、本日、下記のプレスリリースを出しました。


●悪意のある第三者による不正アクセスに関するお知らせ
https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=corporate&dir=corporate&file=irpress/prestory200916_02.html
当社のお客さま口座への悪意のある第三者による不正アクセスにより、お客さまの資産が流出したことが判明いたしました。
2020年9月7日に寄せられた身に覚えのない取引があったとのお客さまからのお申し出を端緒として、当該お客さまのログ調査等により、不審なアクセス元を特定し、そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析いたしました。その結果、悪意のある第三者による不正アクセスが行われ、お客さまの有価証券の売却およびお客さま名義の出金先銀行口座への出金を複数件、確認いたしました。
当社からの出金は、お客さま本人名義の出金先銀行口座のみに限定されておりますが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明しております。悪意のある第三者は、何らかの方法で取得したお客さまの「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、当社WEBサイトで出金先銀行口座を不正な銀行口座に変更した上で、出金を行っております。
なお、本事案は当社システムから、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を不正取得されたものではありません。




●AQUOS sense3 liteが2980円+通話・ネット1年間無料権つき(8/11~)
http://tawaraotoko.blog.fc2.com/blog-entry-1842.html

新着記事通知用のツイッターアカウントはこちら。
https://twitter.com/tawaradanshaku

広告

私はこれを見て非常にびっくりしました。
なぜなら、私は、証券会社のシステムは極めて安心であると考えていたからです。
すなわち、仮に第三者が証券口座に不正ログインしたとしても、出金先は顧客名義の銀行口座に限定されているため、不正ログインした第三者が利益を得ることはできず、証券口座に不正ログインしようと考える第三者が出現しにくい仕組みになっているためです。

しかし、今回は、第三者が顧客名義の銀行口座(以下「偽銀行口座」と呼びます)そのものを不正に開設し、偽銀行口座に出金先を変更した上で、証券口座内のリスク資産を換金して偽銀行口座に出金したという、実に大掛かりな手口です。
なお、偽銀行口座は、ゆうちょ銀行5口座、三菱UFJ銀行1口座の6口座です。

また、SBI証券は、

>当社システムから、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を不正取得されたものではありません。

と述べていることから、被害にあった顧客が他社と同じ「ユーザーネーム」「ログインパスワード」「取引パスワード」を使い回しており、どこかでそれが漏れたことが原因なのかもしれません。

SBI証券は、

一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入


といった対策をすると述べています。


これまで証券会社のログインシステムは、銀行のログインシステムと比べると非常に甘かったと言わざるを得ません。
同じSBIグループの住信SBIネット銀行は、基本的にログインがロックされています。
そのため、住信SBIネット銀行にログインするためには、

(1)スマホアプリ(「スマート認証」)を手動操作してロックを解除する
(2)30秒以内に証券口座のログイン画面に「ユーザーネーム」「ログインパスワード」を入力する

という手順を踏む必要があります。

しかも、スマホ認証アプリへのログインも設定でロックすることができるため、この場合は、

(1)スマホ認証アプリを選択し、4桁の暗証番号を入力する
(2)スマホアプリを手動操作してロックを解除する
(3)30秒以内に証券口座のログイン画面に「ユーザーネーム」「ログインパスワード」を入力する

となり、更に安全性が1段階アップします。

また、住信SBIネット証券は、従来の「スマート認証」を「スマート認証NEO」にバージョンアップしています(従来の「スマート認証」は今冬にサービス停止の予定)。
この結果、

(1)銀行口座のログイン画面に「ユーザーネーム」「ログインパスワード」を入力する
(2)「スマート認証NEO」を内蔵した住信SBIネット銀行アプリを選択して上記ログインを承認する
(3)指紋認証を要求されるので、指紋認証する
(4)指紋認証した直後、自動的に銀行口座にログイン

というようになり、煩雑さがゼロになりました。

ちなみに、スマホをなくしたり買い替えたりしたときは、旧スマホの「スマート認証NEO」を解除して新スマホに「スマート認証NEO」を登録する必要があります。
問題は、不正利用者がスマホをなくしたふりをして「スマート認証NEO」を解除した後、自分のスマホに「スマート認証NEO」を登録して不正ログインできるのかどうかですが、旧スマホの「スマート認証NEO」を解除するためには登録済みの電話番号かメールアドレスに送信される確認コードが必要ですので、ここで「スマート認証NEO」の解除を阻止することができます。

というわけで、SBI証券が住信SBIネット銀行のようなシステムを採用していれば今回の事件は発生しなかったといえます。
おそらくSBI証券は、出金先が顧客名義の銀行口座に限定されていることで第三者が不正ログインをしたいと思う動機が発生しにくいと考えていたために住信SBIネット銀行のような堅固なシステムを採用しなかったものと思われます。
これはSBI証券だけではなく、他社も同じです。

しかし、今回のような事件が発生した以上、SBI証券のみならず他社も、速やかに住信SBIネット銀行のような堅固なログインシステムに変更すべきであると考えます。

【2020.9.16 23:55追記】
SBI証券がスマホ認証を採用するまでの間は、「PC登録あんしんサービス」を利用して自衛するしかありません。
「口座管理」「お客様情報 設定・変更」「各種サービス」のところから「PC登録あんしんサービス」を設定することができます。

パソコンが壊れたときは、SBI証券から送信された「PC登録用メール」に記載されたリンクをクリックすると登録済みの全てのパソコンを解除することができますので、パソコンが壊れたときでも「PC登録用メール」を閲覧できるようにしておくべきです。
なお、最終的にはテクニカルサポートデスクに電話(0120-581-255)すれば解除してくれます。

広告

コメント

No title

スマート認証NEOの説明が証券口座になっていますが、銀行口座の間違いでしょうか

No title

ご指摘ありがとうございます。

間違っていましたので、訂正しました。

こんにちは。SBI証券はpc登録あんしんサービスで2要素認証としてたのですね。
これならばパスワード漏れだけで他人はログインできませんね、初めて知りました。

No title

コメントありがとうございます。

>SBI証券はpc登録あんしんサービスで2要素認証としてたのですね。

サービス登録後の最初のログイン時に登録するパソコンを指定するわけですが、その後に送られてくる


PC登録あんしんサービスPC登録完了のお知らせ

という表題のメールを保存しておかないと、パソコンが壊れたときに非常に面倒なことになりますので、気を付けてください。
非公開コメント

広告

プロフィール

たわら男爵

Author:たわら男爵
Painter:ますい画伯
http://www.masuitousi.com/

ブログ開始日 2016年3月1日

●リスク資産(6割)は「たわら先進国株」(楽天証券)とVT(SBI証券)をほぼ50:50でホールド中。
●つみたてNISA(SBI証券)では「たわら先進国株」を年初一括40万円購入。
●楽天カード投資(毎月1日)では「たわら先進国株」を毎月5万円購入(+特定口座で11日と21日に各5万円ずつ積立買付中)。
●SBI証券で「インデックスマラソン」の毎営業日100円投資を実行中。

●無リスク資産(4割)は、個人向け国債変動10(みずほ証券、SMBC日興証券)と楽天銀行(金利0.1%)。

パソコン版右端の「ブログ記事検索」と「カテゴリ」が便利です。

●「誰でもできる超簡単ほったらかし投資」(カテゴリ「【公開】誰でもできる究極の投資」)はこのブログの全エッセンスを1記事に凝縮したものです。
●カテゴリ「この投資信託がすごい」では、ベストバイファンドの具体名を明示しています。
●カテゴリ「インデックスファンドの基礎知識」を読めば、誰でも簡単に投資信託の必須知識を得ることができます。

新着記事通知用のツイッターアカウントはこちら。
https://twitter.com/tawaradanshaku

インデックス投資家必読の書

ブログ記事検索

他の投信ブログはこちら

管理