日記帳だ! with Tux on Libserver

二度目の大改造!! 日記帳…か?を継承し、より柔軟でパワフルなBlogに変身しました。

RSSに対応しています。リンク・コメント・トラックバックは自由にしていただいてほぼ問題ありません。
RSS購読方法、僕のリンク・コメント・トラックバックについての考えを読むことをおすすめします。

<< 過去

未来 >>

SBI証券が狙われたわけ

先日、電子決済サービスを通じて銀行預金の不正引き出しがあったというニュースがあったが、

時をほぼ同じくして流れたニュースがこれだった。

悪意のある第三者による不正アクセスに関するお知らせ (SBI証券)

不正なアクセスにより、有価証券を売却して、不正開設した銀行口座に出金されるという事件があったと。

出金先の銀行で水際で現金化を阻止した例もあったのだが、なにしろ証券会社ですから1件あたりの被害額が大きくて、

わずかに6件で1億円近くの不正引き出しがあったそうで。


言われて見ればそうだなと思ったんだけど、証券会社の出金先口座っていうのは、氏名が一致していればよい。

逆に言うと氏名が一致している口座にしか引き出せないというのが、不正アクセスの防御策でもあった。

インターネットバンキングだと任意の口座に振り込みできたりするわけだけど、証券会社はそうじゃないんですよね。

ログインして、有価証券が売却できたとしても、その引き出し先は本人名義の口座に限られるのだから。

ここがSBI証券のログイン認証が同グループの住信SBIネット銀行に比べて甘かった背景なのかなと思った。

ただ、氏名以外の住所などの一致は問えないわけですよね。さらに言うと氏名もカナさえ一致していればよい。

そこが問題の1つだったんですね。


こういう問題は他の証券会社にもありそうなものだが、SBI証券が狙われたのにはもうちょっと事情があったようで。

使い回しID、狙われたか 顧客が自由に設定 SBI証券の流出 (朝日新聞デジタル)

ログインして有価証券売却・出金指示するには、ID・ログインパスワード・取引用パスワード の3つが必要になる。

他のサービスから流出したIDとパスワードのペアを使ってログインを試行して、それでログインできてしまい、

なおかつ取引用パスワードがログインパスワードと同じに設定していたことで、今回の被害が発生したらしい。

他の証券会社ではIDをユーザーが自由に決めることが出来ないので、

他サービスから流出したID・パスワードを単純に適用できないので、そこに困難さがあるが、

SBI証券ではユーザーが任意にIDを決められるため狙われたのではないかということである。


IDが任意に設定できることが本質的に悪いという話ではないとは思うんですが……

SBI証券のIDはアルファベットと数字が混ざってないといけないので、他ではあまり使ってないIDになっているが偶然だね。

一方でGMOクリック証券では、IDの末尾2文字は自動的に決定される。

あるいは単純に証券会社側から指定される数字でログインすることもあるんだろう。

(僕が使っている銀行では、みずほ銀行・三菱UFJ銀行・ゆうちょ銀行が銀行から割りあてられた数字でログインする)


とりあえずは、住信SBIネット銀行でやっているようなスマートフォンを使った認証を導入するのがいいのかなと。

株式取引のたびにスマートフォンでの承認を求めるのはちょっと厳しいかも知れないが、

ログイン時と出金操作時あたりをスマートフォンでの承認を求めるようにすれば、かなり効果はあるんじゃないか。

社内にノウハウはあるわけですから、早々に実現できると信じている。


あと、もう1つの問題が銀行口座の不正開設であったり、証券口座と銀行口座の紐付けがカナ表記の氏名だけというところですね。

不正開設については、健康保険証を呈示して、郵送で実在性を確認するという方法で本人確認を行うところ、

偽造された健康保険証を使い、住所を空き家にして、ポストから抜き取るなどして、不正に本人確認を突破したようだ。

この確認方法自体は法令に適合したものではあるもの、確かにそうすれば突破できるわなと。

このあたりは偽造に強い本人確認書類を要求するのが筋ではあって、

氏名・生年月日・住所ぐらいが揃うもので、ICチップ内蔵のものだと、マイナンバーカード・運転免許証・在留カードぐらいか。

これらは全て写真付きなのでその点でも強い本人確認手段である。マイナンバーカードは住民なら誰でも作れるので大本命である。

ただ、これらを持たない人は少なくないわけで、そういう中でどういう対処をするかが課題ではある。

というか、健康保険証+郵送という本人確認の方式はまさに妥協策ではあって、

健康保険証だけでは本人確認の方法として弱いのは明らかだが、実情としてこれに頼らざるを得ない実情から生まれたわけですよね。


銀行口座との紐付けがカナ表記の氏名のみというのは、もはやこれらに比べれば軽微な問題かも知れないが、

ここがもう少し厳格ならばここまでのことは起きなかったのではと言われればその通りである。

実はこの事件が発覚してから、SBI証券もGMOクリック証券では出金先口座の変更は書面でしかできなくなってしまった。

Webで容易に変えられるのをよいことにGMOクリック証券では、出金先をスルガ銀行にしたり、住信SBIネット銀行にしたりしてたが、

住信SBIネット銀行に設定している状態でこうなったので簡単には変えられなくなってしまった。(それはそれでよいが)

そう変更頻度の高いものでもないし、出金を大急ぎでしないといけない状況も限られるので、仕方ないかなとは思うが、

この問題を打開する方法が書面(すなわち登録住所を使った認証)というのも今どきどうよという話ではある。

銀行と相互に情報交換して本人口座か確認できる仕組みがあるべきなのか。(同様のことは古物商などにも言える)


というわけで、ログイン認証の問題は早々になんとかしろと思うのだけど、

それ以外はこれまでのやり方に問題があったのは事実としても、それを解決するのは実務上は難しい面もあるんですね。

このあたりはインターネットバンキングに比べると弱い認証手段を使っていたWeb口座振替受付サービスにも言えることである。

どうしてd払いが狙われた?

インターネットバンキングを必須とすると、従来の紙での口座振替手続き件数が減らず、銀行としては負担が重い。

そこで多くにおいてはインターネットバンキングよりも簡易な認証手段を許容してきたということである。

緊急対策はともかく、恒久対策をどうするかというのは難しそうだなと思いますね。


Author : Hidemaro
Date : 2020/09/25(Fri) 23:37
お金 | Comment | trackback (0)
blog comments powered by Disqus

トラックバック

トラックバックURL取得

Tools