ニュース 2020.10.07 SBI証券で顧客資金1億円近くが流出 不正開設した偽口座を利用
オンライン証券事業を展開するSBI証券は9月16日、不正なアクセスで顧客資産約9,864万円が流出したことを発表した。悪意のある第三者が本人になりすまして顧客名義の偽の口座を開設し、不正に送金・出金したという。
被害の内訳はゆうちょ銀行が5口座で9,229万円、三菱UFJ銀行が1口座で635万円となっており、被害総額の95%近くがゆうちょ銀行からであった。被害額は全額SBI証券が補償する予定とのこと。
同社によると事件は9月7日に顧客から「身に覚えのない取引がある」との通報があり事件が発覚。
社内システムを調査した結果、7〜9月初旬にかけて有価証券を売却するなどして換金し、顧客名義の出金先偽口座に送金が行われていた。さらに偽口座に流出した資金が出金されていることも確認しているとのこと。
複数回のパスワード入力で同じパスワードを流用
SBI証券の出金は顧客本人と同性同名の出金先銀行口座のみと決まっており、今回の事件では悪意のある第三者が免許証やパスポートなど本人確認書類を偽造して利用し、偽の銀行口座自体を不正に開設したことが明らかとなった。
その後何らかの方法で取得した「ユーザーネーム」「ログインパスワード」「取引パスワード」などの個人情報を悪用して出金先の銀行口座を偽の口座に変更し、出金を行なっていたものと見られる。
SBI証券では出金操作をするまでの手続きで複数回パスワードを入力する必要があるが、今回狙われた顧客は同じパスワードを流用していた顧客であった。
SBI証券では再発防止対策として、24時間モニタリング体制のさらなる強化やワンタイムパスワードを利用したログイン認証の導入、出金先銀行口座登録における本人確認の強化などセキュリティ強化に努めるとしている。
加えて、他のインターネットサービスと同じパスワードの利用は避けるよう顧客に求めている。
【関連リンク】
・悪意のある第三者による不正アクセスに関するお知らせ(SBI証券)
https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=corporate&dir=corporate&file=irpress/prestory200916_02.html
・本人確認の手続き突破 SBI証券で顧客資金流出(日本経済新聞 電子版)
https://www.nikkei.com/article/DGXMZO63982230X10C20A9EE9000/
TEXT:セキュリティ通信 編集部
PHOTO:iStock