敵はかなり手ごわいです(SBI証券から顧客資産が流出し、偽の口座に送金された事件について)
2020年9月25日
こんにちは。
投資信託クリニックの カン・チュンド です。
日経新聞の記事より。
『SBI証券、顧客資金9864万円が流出 偽口座に送金』
上記、けっこうインパクトが大きな事件でしょう。
SBI証券の顧客6口座から資産が流出したことは、
そうではなくなったことを如実に示すものだと思います。
私たちネット証券利用者も、
『警戒のレベル』を引き上げないといけません。
今回の事件の『流れ』は以下のとおり。
「取引パスワード」が第三者によって盗まれる。
2.ログインされた状態で、保有金融商品が売却される。
3.犯人はすでに、
口座保有者と「同姓同名」の銀行口座を不正に取得しており、
出金先の「指定銀行口座」を、
既存のものから
不正に取得した「銀行口座」に変更したうえで、
4.その偽の「銀行口座」にSBI証券口座内の資金を出金し、
5.最終、その偽の銀行口座から、
さらに別の口座に送金がなされ、お金が詐取された。
という『流れ』です。
3.については、
本人確認の書類そのものが偽造された模様。
また、事件当時(7月~9月初旬)
出金先の「銀行口座」を変更する作業は、
ネット上(ログインした状態)で完結できていました。
「ユーザーネーム」「ログインパスワード」
「取引パスワード」は、
金融機関ごとで変えておくべし、
ということはよく言われますが、
同じく日経新聞のこちらの記事によると、
今回の被害者の一人である男性は、
「ユーザーネーム」「ログインパスワード」
「取引パスワード」について、
他のネットサービスで使い回しはしておらず、
IDやパスワードは
スマホ内のメモで管理していたと云います。
「どこから漏れたのか全く分からない」と話す。
・・ココが真に恐ろしい点です。
今回SBI証券はリリースの中で、
ID、パスワードはSBI証券のサイト内で盗まれたものではないと、明言しています。
ネットに接続する中、何らかの取引を行う中で
知らないうちにID、パスワードが盗まれていた。』ということなのでしょう。
SBI証券は今回、
不正に引き出された資金について、全額補償する方針です。
(これも件数が少なく、被害額も莫大ではなかったからこそ、
なし得ることではないでしょうか。)
出金先の「銀行口座」を変更する作業は、
SBI証券と楽天証券は郵送による変更手続きのみ、
マネックス証券は書面での変更手続き(=郵送と思われます)
また、auカブコム証券は
「お客様サポートセンター」での有人による手続き、
または書面での変更手続きのみとしています。
再び日経新聞
「知らぬ間に口座空っぽ SBI証券の顧客資金流出」より引用します。
今後、ワンタイムパスワードの導入、
登録外端末からのログイン通知、
出金先口座変更時の確認強化など、
セキュリティー対策を強化するとしている。
はい、ぜひとも。上記は当然でしょう。
取引そのものの利便性、
瞬時性が犠牲になったとしても、
「セキュリティー」を強化する必要があります。
なぜなら、敵(ネット犯罪者)のレベルも相当に上がっているためです。
ちょっと海外の金融機関と比較してみましょう。
たとえば香港のオンライン証券
「MONEX BOOM」では、
「monex boom authenticator アプリ」を用いた、
ワンタイムパスワードが導入されています。
顧客は日本のネット証券と同じように、
ログインID、パスワード、キーコード(取引パスワード)を持ちますが、
パスワード、取引パスワードは
3ヶ月で期限が切れ、新たに設定し直す必要があるようです。
two-factor authentication ↑とは
いわゆる『二要素認証』であり、ログインするためには従来のパスワードに加え、ワンタイムパスワードも必要という意。
また、こちらは銀行ですが、
HSBC銀行(HSBC HongKong)では
ログインのための手続きが、
「ユーザーネーム」
「秘密の質問(セキュリティー質問)」
そして、固形のデバイスを用いて
「ワンタイムパスワード」を入力する、という手順になっているようです。
日本のネット証券でも
早急に「ワンタイムパスワード」の導入が求められるでしょう。
もちろん、今すぐ
私たちに【最低限】できることは?
「ユーザーネーム」「ログインパスワード」
「取引パスワード」について、
他のネットサービスとの使い回しは避ける。
そして、金融機関ごとで、
異なるID、パスワードに設定し直す。
これは最低限、今すぐ(本当に今すぐ)やるべきことだと思います。
カテゴリ:金融機関にモノ申す