事故から学ぶ

SBI証券、不正アクセスで顧客口座から約1億円流出 偽口座に送金

事故概要

業種 証券会社
発生時期 2020/9/1頃
漏えい人数 未発表
事故概要

SBI証券は9月16日、外部からの不正アクセスによって、顧客口座から9864万円が流出したと発表した。第三者が顧客名義で偽の口座を開設し、顧客資金を不正に送金していたという。被害に遭った口座は6つで、内訳はゆうちょ銀行が5口座、三菱UFJ銀行が1口座。被害総額の約94%がゆうちょ銀行に集中した。同社は流出額の全額を補填し、再発防止に向けてセキュリティを強化する方針だ。
SBI証券のリリース
同社によると、9月7日に顧客から「身に覚えのない取引があった」との申告を受けたことで流出が発覚。社内システムを調査したところ、第三者からの不正アクセスによる、不正な出金や有価証券の売却が複数件確認できたという。
第三者は顧客のユーザーネーム、ログインパスワード、取引パスワードなどの個人情報を悪用し、出金先の銀行口座を偽のものに変更。資金を不正に送金していた。SBI証券の担当者は「本人確認が担保されているはずの銀行口座が偽造されており、業界としても前代未聞のことだ」と話す。システムの欠陥による流出ではないという。
攻撃方法について、SBI証券は「捜査中なので詳細は答えられない」としたが、外部に流出したECサイトなどのパスワードやログインIDをリスト化し、その情報を基にログインを試みる「リスト型攻撃」の可能性を示唆した。
同社は不正アクセスの発覚後、被害を受けた顧客に個別に連絡。これから不正アクセスを受ける危険性がある顧客も特定し、出金停止やパスワードの強制リセットなどの措置を講じた。全顧客を対象に、出金先の銀行口座の変更受付も停止しており、現在は変更手続きを郵送でのみ受け付けている。
今後は再発防止に向け、生体認証を活用したワンタイムパスワードを導入したり、本人確認時の確認事項を増やしたりとセキュリティ強化を図る方針。ゆうちょ銀行や三菱UFJ銀行と連携して報告書をまとめることも検討する。
さらなる被害の拡大を防ぐため、同社は顧客に対し、他のWebサービスと同じパスワードの使用を控えるよう求めている。

引用元 ITmedia

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-3(第20条)安全管理措置 パソコン設定 携帯電話設定(インターネット利用 不正ログイン防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れているからすぐに対応しろ、など閲覧しているサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にファイルをダウロードしていませんか?
セキュリティー対策としてOSやアプリケーションは常に最新バージョンにアップデートしていますか?
携帯電話のOSやアプリケーションもも常に最新バージョンにアップデートしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

今回の不正アクセスでは、リスト型攻撃が使われたとのことだ。
また、出金先の銀行口座自体も、本人確認が担保されているはずが偽造されていたと書かれており、各機関を跨がった複雑な問題である。
個人情報などを守るためにも、関係機関で密な連携を取らなくてはならない。

具体例:

二段階認証を用いておけば防げた可能性がある、とされている。わが社は大丈夫だろう、という手抜きはこのような事件を発生させる。セキュリティー担当者は認識したと思うが、単なる手抜きである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。