金融機関にモノ申す

敵はかなり手ごわいです(SBI証券から顧客資産が流出し、偽の口座に送金された事件について)

2020年9月25日


こんにちは。
投資信託クリニックの カン・チュンド です。

日経新聞の記事より。
SBI証券、顧客資金9864万円が流出 偽口座に送金

上記、けっこうインパクトが大きな事件でしょう。

 


 

SBI証券の顧客6口座から資産が流出したことは、

 

これまで「大丈夫だ」と思われていたことが、
そうではなくなったことを如実に示すものだと思います。

私たちネット証券利用者も、
『警戒のレベル』を引き上げないといけません。

 


今回の事件の『流れ』は以下のとおり。

 

1.SBI証券の「ユーザーネーム」「ログインパスワード」
「取引パスワード」が第三者によって盗まれる。

2.ログインされた状態で、保有金融商品が売却される。

3.犯人はすでに、
口座保有者と「同姓同名」の銀行口座を不正に取得しており、

出金先の「指定銀行口座」を、
既存のものから
不正に取得した「銀行口座」に変更したうえで、

4.その偽の「銀行口座」にSBI証券口座内の資金を出金し、

5.最終、その偽の銀行口座から、
さらに別の口座に送金がなされ、お金が詐取された。

 

という『流れ』です。


3.については、
本人確認の書類そのものが偽造された模様。

また、事件当時(7月~9月初旬)
出金先の「銀行口座」を変更する作業は、
ネット上(ログインした状態)で完結できていました。


「ユーザーネーム」「ログインパスワード」
「取引パスワード」は、

金融機関ごとで変えておくべし、
ということはよく言われますが、

同じく日経新聞のこちらの記事によると、

今回の被害者の一人である男性は、

「ユーザーネーム」「ログインパスワード」
「取引パスワード」について、
他のネットサービスで使い回しはしておらず、

IDやパスワードは
スマホ内のメモで管理していたと云います。

「どこから漏れたのか全く分からない」と話す。


・・ココが真に恐ろしい点です。

 




今回SBI証券はリリースの中で、
ID、パスワードはSBI証券のサイト内で盗まれたものではないと、明言しています。

つまり『ご本人が気づかないうちに、
ネットに接続する中、何らかの取引を行う中で
知らないうちにID、パスワードが盗まれていた。』ということなのでしょう。


SBI証券は今回、
不正に引き出された資金について、全額補償する方針です。

(これも件数が少なく、被害額も莫大ではなかったからこそ、
なし得ることではないでしょうか。)

※ なお、2020年9月25日現在、
出金先の「銀行口座」を変更する作業は、
SBI証券と楽天証券は郵送による変更手続きのみ、

マネックス証券は書面での変更手続き(=郵送と思われます)
また、auカブコム証券は
「お客様サポートセンター」での有人による手続き、
または書面での変更手続きのみとしています。



再び日経新聞
知らぬ間に口座空っぽ SBI証券の顧客資金流出」より引用します。

今後、ワンタイムパスワードの導入、
登録外端末からのログイン通知、

出金先口座変更時の確認強化など、
セキュリティー対策を強化するとしている。

 

はい、ぜひとも。上記は当然でしょう。

取引そのものの利便性、
瞬時性が犠牲になったとしても、
「セキュリティー」を強化する必要があります。

なぜなら、敵(ネット犯罪者)のレベルも相当に上がっているためです。


ちょっと海外の金融機関と比較してみましょう。

たとえば香港のオンライン証券
MONEX BOOM」では、

「monex boom authenticator アプリ」を用いた、
ワンタイムパスワードが導入されています。


顧客は日本のネット証券と同じように、
ログインID、パスワード、キーコード(取引パスワード)を持ちますが、

パスワード、取引パスワードは
3ヶ月で期限が切れ、新たに設定し直す必要があるようです。

 

 

two-factor authentication ↑とは
いわゆる『二要素認証』であり、ログインするためには従来のパスワードに加え、ワンタイムパスワードも必要という意。


また、こちらは銀行ですが、
HSBC銀行(HSBC HongKong)では

ログインのための手続きが、
「ユーザーネーム」
「秘密の質問(セキュリティー質問)」

そして、固形のデバイスを用いて
「ワンタイムパスワード」を入力する、という手順になっているようです。

 



日本のネット証券でも
早急にワンタイムパスワード」の導入が求められるでしょう。

もちろん、今すぐ
私たちに【最低限】できることは?

「ユーザーネーム」「ログインパスワード」
「取引パスワード」について、
他のネットサービスとの使い回しは避ける。

そして、金融機関ごとで、
異なるID、パスワードに設定し直す。

これは最低限、今すぐ(本当に今すぐ)やるべきことだと思います。


カテゴリ:金融機関にモノ申す

おすすめの記事