インターネット証券のSBI証券が、複数の顧客の証券口座から資産が流出したことを明らかにしました。被害総額は9864万円にのぼり、ゆうちょ銀行の5つの口座、三菱UFJ銀行の1つの口座に出金(送金)されていたということです。SBI証券が9月16日に発表したプレスリリースをもとに実態を検証してみたいと思います。
インターネット証券は、ネットによって株式売買などの証券取引を行うものです。顧客はネットに証券口座を開設しパソコンやスマートフォンなどを使って株の取引を行います。証券口座への入金や証券口座からの出金は、顧客が登録した銀行口座にて行われ、SBI証券では証券口座から出金する振込先金融機関口座(出金先口座)は証券口座と同じ名義でなければならず、また、複数の口座を登録することは出来ないとしています。
SBI証券によると今回の事案の端緒は、不正ログインを検出したことに始まりました。SBI証券において不正ログインの調査・対策を実施していたところ、今年9月7日に顧客から「身に覚えのない取引があった」との申し出があったということです。そのため、この顧客の証券口座の取引ログを調査し不審なアクセスを特定するに至り、同様のアクセスが確認された他の顧客の証券口座や類似の取引履歴を分析した結果、第三者による不正アクセスにより複数の顧客の証券口座において、有価証券の売却とゆうちょ銀行の5口座に計9229万円、三菱UFJ銀行の1口座に635万円、総額9864万円が出金(送金)されていたことが判明したということです。
SBI証券の証券口座からの出金は、顧客が登録した振込先金融機関口座に出金されますが、何者かによって登録済みの振込先口座情報が変更され、ゆうちょ銀行と三菱UFJ銀行の口座に出金(送金)されたということです。また、振込先口座はSBI証券の口座と同じ名義でないと登録できないことからSBI証券は、第三者が偽造の本人確認書類を利用するなどしてゆうちょ銀行と三菱UFJ銀行に顧客になりすました偽の口座を開設したとの見方を示しています。そして、なんらかの方法で取得した顧客のユーザーネーム、ログインパスワード、取引パスワード等の情報を用いてSBI証券のサイトにて顧客の出金先銀行口座を変更して出金(送金)したということです。
SBI証券の発表によれば、本件は第三者の不正アクセスによりネット上の顧客情報が変更され、顧客資産の不正送金を招いた事案といえます。第三者がどのような方法でSBI証券のネットワークに侵入したのか明らかではありませんが、SBI証券は顧客のユーザーネーム、ログインパスワード、取引パスワード等の情報を用いたとの見方を示しています。また、出金(送金)先のゆうちょ銀行と三菱UFJ銀行の口座がどのような方法で開設されたのかについても、現状、詳らかではありません。
SBI証券は今回の事態を受けて、不正アクセス検知システム(WAF)による対応など不正アクセスに対する監視強化を図るほか、ワンタイムパスワードによるログイン認証の導入や暗号化通信の高度化などの再発防止策を行っていくとしています。
【参考】