証券会社の口座も危険! SBI証券がハッカーに約1億円も盗まれた手口に学ぶ防衛策とは?

「ドコモ口座詐欺事件」をきっかけにネット銀行のセキュリティの甘さが露呈した。そんな中、「SBI証券」では約1億円ものお金が不正に引き出される被害を受けたとされる。セキュリティが厳しいはずのネット証券会社がどうしてこのような被害を受けたのだろうか? 今回は証券会社を利用するうえで気を付けたい2つのポイントを紹介しよう。

セキュリティ万全のはずの証券会社も危ない?!

 朝日新聞デジタルによると、ネット証券最大手「SBI証券」で顧客6人の口座から約1億円(約9864万円)が不正に引き出された。ハッカーがSBI証券の口座に不正ログインし、ゆうちょ銀行や三菱UFJ銀行のニセ口座に送金していたという。現在では、NISAやiDeCoで証券会社の口座を開設している人も多いので、セキュリティが厳しいはずの証券会社の口座から、不正にお金を引き出されたと聞けば、不安になるのも無理はない。
 ところが、この事件には不可解な部分もある。実はSBI証券によると、IDやパスワードの流出はなく、セキュリティそのものはハッキングされていないというのだ。これはいったいどういうことなのか……。ハッカーはSBI証券の口座から、どのようにして不正にお金を引き出したというのだろうか? 

(Image:sbisec.co.jp)

SBI証券にログインするには、自分で自由に設定できるユーザーネームとパスワードでログインできる。これが今回の事件の一因となった

結局パスワードの使い回しが原因だった!

 まず「SBI証券」は、ログインするときのIDをユーザーが自分で決めたニックネームにすることができる。そのため、ほかのネットサービスで利用しているIDとパスワードを使い回していた場合、これを不正に入手したハッカーは、簡単にログインできてしまったのである。
 次のポイントは「取引パスワード」だ。これは株の売却時に必要なもので、ユーザーがログインパスワードと別に設定できる。本来は取引パスワードが分からなければ株を売却できないはずだが、被害に遭った6人は全員ログインパスワードと取引パスワードを同じにしていたという。これではパスワードを別にしている意味がないだろう。なお、株を売却したお金の出金には、偽造保険証で登録したニセ口座が利用されていた。

(Image:sbisec.co.jp)

株を売却するときは「取引パスワード」が必要になる。これをログインと同じものにしていた人が被害に遭った

 今回のSBI証券の事件は「リスト型アカウントハッキング」という手法が使われたのではないかと言われている。そもそもハッカーは不正な方法でIDとパスワードを入手してSBI証券にログインしているが、これはフィッシング詐欺や企業から漏洩したIDとパスワードなどがリスト化され、闇ルートでハッカーの手に渡ったと考えられるのだ。
 これは個人で対処することができないが、少なくとも、ネットサービスにおいてパスワードを使い回していると、今回のような事件が起きた際に甚大な被害を被ることになる。また、取引パスワードも使い回したことで、勝手に株を売却されてしまったのだ。したがって、証券会社のIDとパスワードは、ほかのネットサービスとは違うものにし、取引パスワードもログインパスワードとは違うものにすることが重要なのである。

参考元:客の使い回しパスワード悪用か SBI証券の1億円流出【朝日新聞デジタル】

文=藤原博文/フリーライター

関連記事

TOPICS
マネー最新記事

RANKINGランキング

6:00更新