SBI証券は9月16日、外部からの不正アクセスによって、顧客口座から9864万円が流出したと発表した。第三者が顧客名義で偽の口座を開設し、顧客資金を不正に送金していたという。被害に遭った口座は6つで、内訳はゆうちょ銀行が5口座、三菱UFJ銀行が1口座。被害総額の約94％がゆうちょ銀行に集中した。同社は流出額の全額を補填し、再発防止に向けてセキュリティを強化する方針だ。
SBI証券のリリース
同社によると、9月7日に顧客から「身に覚えのない取引があった」との申告を受けたことで流出が発覚。社内システムを調査したところ、第三者からの不正アクセスによる、不正な出金や有価証券の売却が複数件確認できたという。
第三者は顧客のユーザーネーム、ログインパスワード、取引パスワードなどの個人情報を悪用し、出金先の銀行口座を偽のものに変更。資金を不正に送金していた。SBI証券の担当者は「本人確認が担保されているはずの銀行口座が偽造されており、業界としても前代未聞のことだ」と話す。システムの欠陥による流出ではないという。
攻撃方法について、SBI証券は「捜査中なので詳細は答えられない」としたが、外部に流出したECサイトなどのパスワードやログインIDをリスト化し、その情報を基にログインを試みる「リスト型攻撃」の可能性を示唆した。
同社は不正アクセスの発覚後、被害を受けた顧客に個別に連絡。これから不正アクセスを受ける危険性がある顧客も特定し、出金停止やパスワードの強制リセットなどの措置を講じた。全顧客を対象に、出金先の銀行口座の変更受付も停止しており、現在は変更手続きを郵送でのみ受け付けている。
今後は再発防止に向け、生体認証を活用したワンタイムパスワードを導入したり、本人確認時の確認事項を増やしたりとセキュリティ強化を図る方針。ゆうちょ銀行や三菱UFJ銀行と連携して報告書をまとめることも検討する。
さらなる被害の拡大を防ぐため、同社は顧客に対し、他のWebサービスと同じパスワードの使用を控えるよう求めている。