piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた

SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。

なりすまし口座を使った犯行

f:id:piyokango:20200917090643p:plain
不正利用の手口(SBI証券発表情報よりpiyokango作成)

SBI証券からの流出は以下の手口で送金まで行われてしまった。

  1. SBI証券の顧客アカウントに不正ログイン。
  2. 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。
  3. 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。
  4. 売却した資金を不正口座に送金。送金された金を引き出し。

約1億円が流出

  • SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万円。*1
  • 資金の送金先にはゆうちょ銀、三菱UFJ銀の2銀行で不正に開設された口座が悪用された。
銀行 不正口座数 送金額
ゆうちょ銀行 5件 9,229万円
三菱UFJ銀行 1件 635万円
  • 当該事案により発生した被害はSBI証券が全額保証する方針と表明している。補償されるのは売却された有価証券なのか売却金として戻されるのかは不明。
  • 不正口座に送金された資金は既に大半が引き出しされていた模様。*2

顧客申告で被害発覚

  • 発端は顧客から身に覚えのない取引があるとする申告を2020年9月7日に受けたことから。
  • 申告を受け、不審なアクセスの特徴を特定。他の口座へのアクセスや同様の特徴のある取引履歴を分析。
  • 不正アクセスは2020年7月から9月初旬にかけ発生。不正アクセスのモニタリングは常時行っており、直近でもその端緒を検知し調査、対策を行っていた。
  • SBI証券は同社システムからの情報流出に起因するものではないと説明。不正ログインはリスト型攻撃だった可能性があるとしている。
  • 何らかの手段により犯人が取得した「ユーザーネーム」「ログインパスワード」「取引パスワード」が悪用されたとみられる。ユーザーネームは顧客が任意のものを設定することが可能。

不正に開設された「なりすまし」口座

  • SBI証券は出金先口座に設定できる条件として「名義が同一であること」としていた。
  • 今回の犯行では不正アクセスを受けたSBI証券の顧客アカウントと同一の名義で開設されたなりすまし口座が使用されていた。 
  • 銀行側に提出された本人確認書類が偽造されたものだった可能性がある。窓口で普通の手順で作成されたとみられる。*3
  • 不正口座が開設されたゆうちょ銀行は9月16日の記者会見では今回の手口について「あまり聞いたことがない」と質問に答えている。
SBI証券の対応

事案発覚直後は以下の対応が取られた。

  • 不正アクセスの危険性が高いと判断した顧客を幅広く特定。出金停止、パスワード強制リセットを実施。
  • 全顧客に対し、出金先口座のWebサイト上での変更を停止。本人確認が可能な郵送による変更手続きでのみ受け付けに変更。

また再発防止策として複数発表を行っている。

(1)監視
不正アクセスに対する24時間モニタリング体制のさらなる強化
不正アクセス検知システム(WAF)による新たな攻撃手法への対応
不審なIPアドレスからのアクセス排除(IPレピュテーションサービスの一層の活用)
 
(2)認証
一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入
当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化
 
(3)本人確認
出金先銀行口座登録における本人確認の強化
 
(4)その他
出金先銀行との連携強化(ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり)
直接の出金を防止するATMカードの廃止(本年6月30日公表済み、10月3日廃止予定)
EVERSPINによるダイナミックセキュリティ技術の導入(当社およびSBIネオモバイル証券のスマホアプリに導入済み)
①スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
②ソースコード暗号化機能
③URLの暗号化機能 など

金融庁の対応

  • SBI証券に対し9月17日までに金融商品取引法に基づく報告徴求命令。*4
  • SBI証券事案を受け、金融商品取引業者に対しリスク管理体制の自主点検や顧客被害発生の確認を行う様要請

同業各社の発表

SBI証券事案を受け、調査結果や対策の方針等が同業各社より発表されている。

更新履歴

  • 2020年9月17日 AM 新規作成
  • 2020年9月18日 AM 金融庁や同業各社の対応を追記