SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される 38
ストーリー by nagazou
何事件と呼んでいいか分からなくなってきた 部門より
何事件と呼んでいいか分からなくなってきた 部門より
インターネット証券であるSBI証券の顧客の口座から、9864万円が流出していたことが判明した(SBI証券、ねとらぼ、日経新聞)。
SBI証券のリリースによると、顧客側から9月7日に身に覚えのない取引があったと連絡があり、そこから第三者による不正アクセスによって流出があったことが判明したいう。不正ログインによって株取引や出金などができる状態になった。これにより、現金の出金だけではなく有価証券の売却という方法によって換金が行われている。
また第三者が本人確認書類を偽造し、ゆうちょ銀行と三菱UFJ銀行に偽の銀行口座を作成していたことも判明、犯人はその偽口座に送金や出金を行っていた。作られた偽口座は6口座あり、ゆうちょ銀のあてに5口座、三菱UFJ銀が1口座であった。被害額はゆうちょ銀行の偽口座宛てに9,229万円、同三菱UFJ銀行宛てに635万円となっている。
なおSBI証券によれば、これまで個人情報が流出した事実はないという。同社は被害拡大を防止する観点から、他のインターネットサービス、とくに他のオンライン証券やインターネットバンキングなどと同じパスワードを使わないよう利用者に求めている。
あるAnonymous Coward 曰く、
SBI証券のリリースによると、顧客側から9月7日に身に覚えのない取引があったと連絡があり、そこから第三者による不正アクセスによって流出があったことが判明したいう。不正ログインによって株取引や出金などができる状態になった。これにより、現金の出金だけではなく有価証券の売却という方法によって換金が行われている。
また第三者が本人確認書類を偽造し、ゆうちょ銀行と三菱UFJ銀行に偽の銀行口座を作成していたことも判明、犯人はその偽口座に送金や出金を行っていた。作られた偽口座は6口座あり、ゆうちょ銀のあてに5口座、三菱UFJ銀が1口座であった。被害額はゆうちょ銀行の偽口座宛てに9,229万円、同三菱UFJ銀行宛てに635万円となっている。
なおSBI証券によれば、これまで個人情報が流出した事実はないという。同社は被害拡大を防止する観点から、他のインターネットサービス、とくに他のオンライン証券やインターネットバンキングなどと同じパスワードを使わないよう利用者に求めている。
あるAnonymous Coward 曰く、
新しいのは「悪意のある第三者が「偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設した」かな
この事件のポイントは (スコア:2, 興味深い)
コインチェック流出の際に、客集めにばっか金かけてセキュリティに金かけてなかった「カス中のカス」と吐き捨てた北尾の会社がSBI証券で、二要素認証すらなかったところです。
https://ascii.jp/elem/000/001/624/1624722/ [ascii.jp]
Re: (スコア:0)
ニセの口座が作れたゆうちょ銀行や三菱UFJ銀行の方が問題じゃないの?
Re: (スコア:0)
それも問題なんだけど、不正にログインされて有価証券を売られてたのは別の問題。
SBI証券はID/パスワードだけでログインさせて取引できていたのでダメでしょう。
SBI証券のリリース読むとぱっと見は偽造書類で口座つくられた銀行だけが悪いかのように見えちゃうけど、本人以外が
証券口座を操作して売買したり(偽造)銀行口座に早期できているのも問題ですわ。
認証弱い。
SBI証券だけじゃないけどね。
Re: (スコア:0)
GMOクリック証券使ってるけど不安
Re: (スコア:0)
GMOは攻撃側も踏み台に使ってそう
Re: (スコア:0)
SBI証券はログインパスワードと取引パスワードは別ですよ。
…まあ、別になっているだけ、なのですが。
Re: (スコア:0)
sbiはパスワードミスってロックしても数時間で解除する
メール通知は、銀行から入金しても、株の売買しても、メールしないのがデフォルト
メール通知停止か登録メアド変更してから、総当たりすれば本人にバレずに突破できるかも
ドコモ口座の準備でSbi証券に多額の振込してる口座を見つけても不思議はない
Re: (スコア:0)
取引パスワードは別に要求されますよ。
証券やFXの売り買いで二段階認証なぞさせていたら、その時間差で取引に負けてしまいます。
Re: (スコア:0)
ログイン時に二要素認証、でよいのでは。
# 取引パスワードも、時間がもったいないなー、でもしようがないかー、と思ってる。
Re: (スコア:0)
どの証券会社にも共通するけど、普通は取引ツールにID/パスワード記憶させちゃうだろうからなぁ。
出金操作と個人情報の閲覧・変更を二要素認証にしたらいいのかもしれない。
Re: (スコア:0)
2要素はないけど、2段階はある。
未知のブラウザでログインしようとすると、メール通知でログイン許可するか聞いてくる。
ワンクリックで許可できる。
もしSBIとメールサービスでパスワード使い回すなどしてたらアウトだが。
それでも取引パスワードが別にあるし、どうやったのやら。
偽造した本人確認書とか、結構周到にやってたようだな。
事前に認証情報を抜いておいて、本人確認書を作った上で実行したのか。
Re:この事件のポイントは (スコア:1)
https://www.sankei.com/economy/news/200917/ecn2009170036-n1.html [sankei.com]
paypayのSMS認証突破された、今日のニュース。
メール認証に意味があるかわからないよ。
Re: (スコア:0)
これはPayPayなどの口座作るときのSMS認証に飛ばし携帯使ったというのだからちょっと違うくない?
Re: (スコア:0)
よくわからん記事だな
PayPayのアカウント作ったのは攻撃者じゃないのか?
攻撃者が設定した電話番号にSMSが届くのは当然なのでは
SIMの契約なんかは多重債務者でも使ってやればいいんじゃないの
Re: (スコア:0)
そのSMS認証は銀行口座に登録されている番号にSMSを送ってるわけではなくて、
決済サービスに新規登録する際に入力した番号に送ってるの
銀行口座名義本人かどうかの確認は、ドコモ口座だろうとPayPayだろうと、口座振替登録の可否でしか行ってない
SMS認証が突破されたわけではない
その記事には
何らかの形で入手した、本人確認が不十分な携帯電話を用いたようだ
と書かれているけど、自分で用意せずSMS認証代行業者に頼んでいる可能性もあるし、
「携帯電話不正利用防止法」で、携帯電話事業者は契約時に本人確認を行うことが義務付けられている。
と書かれているけど、通話はできずSMSの受信はできるデータ専用SIMは、本人確認義務がない
Re: (スコア:0)
#3890951 [srad.jp]にリンク張られてる日経の記事によると、被害者は取引パスワードをログインパスワードと同じものに変更してたようだ。
また、IDとパスワードはスマホ内のメモで管理してたっていうことなので、そこ見られたら一発でやられる状態になっていたらしい。
また、記事には「登録外の端末からアクセスがあった際、メールなどで本人に通知をする仕組みもなかった」とある。
不正に作られた銀行口座は、生年月日などの情報は本人のものと異なっていたということなので、その辺の情報が全部流出したわけではなさそう。
スマホにマルウェア仕込まれたかソーシャルハックされたかで、ログイン情報知られただけのシンプルな事件のような気がする。
Re: (スコア:0)
いうても6口座やで?被害者のうちの一人から聞いた話やろ?
Re: (スコア:0)
一番被害額がでかかった人だな。
1人で総額で3400万近くやられてる。
Re: (スコア:0)
これ自分に落ち度があると言ってるようなもんだし、
SBIの「全額補償」の対象になるんかねぇ。
Re: (スコア:0)
> なので、SBI証券へのログインのところさえなんとかなれば、その後は一直線だと思う。
いや、無理っぽい。
取引パスワード変更は旧の取引パスワードが必要。
取引パスワードの再設定は生年月日、登録emailアドレス、登録電話番号の入力が必要。
で、登録emailアドレスの変更は取引パスワードが必要。
なので「メールアドレスの変更後に取引パス変更をすれば自分の手元に来る」はちょっと無理。
結局、取引パスワードの再設定の必要情報を全部持っていて、かつ登録メールアドレス宛のメールを見る事が可能ならば、取引パスワードを変える事が可能だろう。そのスジだけだね。結構ハードルは高いだろう。
# ところで、法人口座でも生年月日を聞いて来るぞ。
# 設立年月日を入れるのかな、この場合。
Re: (スコア:0)
長年使ってて、パスワード制限が短すぎるのが不満だったが、現在は直ってるかもと再確認してみた。
> 半角英数字6文字以上10文字以内
うん、クレーム少ないのかな。
世間の関心が高いから表沙汰になっただけで (スコア:0)
銀行にとっては以前から度々発生している茶飯事のひとつに過ぎないのでは
Re: (スコア:0)
ゆうちょ銀行の記者会見では、この件について「あまり聞いたことがない」という表現をしていたよ。
口ぶりからしてかなり珍しい事例ではあるんだと思う。
Re: (スコア:0)
知らないことにしとかないと、ちゃんと本人確認してない=違法ってことになるからね。
悪用はゆうちょ口座がほとんどだし、本人確認が甘かったりするのかな。
Re: (スコア:0)
そもそも銀行って不正使用の調査とかはしてるのかな.
調べたら不正使用がありましたとかちょろちょろとでてきてるけど,この取引なんかおかしくね? みたいなチェックは普段はしてないんだろうか.
問い合わせがあったら調べるって感じなのかな.
本人確認書類? (スコア:0)
初夏に銀行口座つくったけど申込用紙に記入だけで、運転免許とか住民票とか確認なしで通帳くれたよ。
Re:本人確認書類? (スコア:1)
銀行名(支店名)を教えて頂けませんか?
本人確認なし,つまり匿名で口座が作れるなら,とりあえず10個ぐらい口座を作りたいです
Re: (スコア:0)
免許証あってもろくに確認してないんではないかな?
昔ネット銀行の口座作るときたしか免許証のコピー送った気がするけど、白黒の乾式コピーだから写真なんて潰れてたし。
文字つぎはぎしてもわかんないしな…。
今なら写メして送れってのがあるけど、それもフォトショップしちゃえばやり放題だし。
ザルだよね。
Re: (スコア:0)
免許証番号は存在し得る番号なのかどうかの確認と、過去に犯罪に使われたことがある番号ではないかの確認ぐらいにしか使わないと思うよ。
あとは申込書に書かれた個人が存在するか、存在するなら免許証を持っているか、その人が持っている番号と同じなのか違うのか近いのか全然違うのかあたりで、偽造した犯人の手がかりを積み重ねるぐらいしかできない。
実物の提示を受ける場合でも、埋め込まれたICチップの情報引き出してその場で照合することはできないんだし。
ザルでない本人確認を行うには、国と企業が相互に照会できるような統一された個人情報データベースでも作らないと無理だろう。
これは免許証とかの証明証の本人確認機能が低いって話ではなくて、本人を厳密に確認するって行為自体がそもそも困難だというレベルの話。
Re: (スコア:0)
どこの銀行?
Re: (スコア:0)
あとでマイナンバーを登録しないと、取引が制限されたりして。
Re: (スコア:0)
暗号通貨からみのサービスでは、個人情報とかユーザー確認レベルに応じで
可能なことが増えていく会社があるな
最初に、メールと自主申告の個人情報だけで口座つくるができることは限られる
その後、確認レベルが上がるごとにできることが増えていく、みたいな
この影響で (スコア:0)
口座の変更がオンラインで出来なくなり、当面郵送のみになりましたとさ。
#ちなみにマネックス
全文は登録しないと見れないのがあれだが (スコア:0)
日経 [nikkei.com]
どうも入金用に登録されたネット銀行口座の預金も証券口座に移して別口座に出金されたらしい
使いまわしはしていないがスマートフォン内にメモってのがどうも引っかかる
Re: (スコア:0)
使いまわしはしていないがスマートフォン内にメモってのがどうも引っかかる
これで中華製IME使ってました、みたいなオチだったら笑えるんだけど。
パスワードの長さ (スコア:0)
いまどき10文字以内は、頼むから改修してください。お願いします
Re: (スコア:0)
ジュゲムで140文字くらいだっけ?