SBI証券、顧客資産9864万円が流出--不正開設された偽の銀行口座へ出金、全額補償へ

　SBI証券は9月16日、悪意のある第三者による不正アクセスにより、顧客資産9864万円が流出したと発表した。

　9月7日に、ユーザーから見に覚えのない取引があったと問い合わせがあり、同社内で調査。不審なアクセス元を特定し、そこからアクセスされたその他口座や同様の特徴のある取引履歴などを分析したところ、悪意のある第三者からの不正アクセスが判明。ユーザーの有価証券の売却、銀行口座への出金を複数件、確認したという。

　同社からの出金は、ユーザー本人の名義になっている銀行口座のみに限定されているものの、悪意のある第三者が偽造した本人確認書類を利用するなどして、銀行口座そのものを不正に開設したことが判明。その後、何らかの方法で取得した「ユーザーネーム」、「ログインパスワード」、「取引パスワード」などの情報を用いて、出金先の銀行口座を不正なものに変更、出金。「ドコモ口座」など、現在話題になっている資金移動サービスの不正引き出しとは手法が異なり、手口も巧妙化している。

　被害の状況は、ゆうちょ銀行5口座、三菱UFJ銀行1口座の合計6口座で、被害額は、ゆうちょ銀行が9229万円。三菱UFJ銀行が635万円となっている。なお、ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり、出金先銀行との連携強化を図る。また、今回の件については、同社のシステムから「ユーザーネーム」、「ログインパスワード」、「取引パスワード」が不正取得されたものではないという。

　被害を受けたユーザーには、個別に連絡をとっており、捜査当局、流出先のゆうちょ銀行、三菱UFJ銀行と連携して対応。全被害額をSBI証券が補償する予定としている。また、被害拡大防止の観点から、今回判明した攻撃手法から不正アクセスの危険性があるユーザーを幅広く特定し、出金停止、パスワード強制リセットなどの措置を実施。さらに、ウェブサイト上での出金先の銀行口座変更の受付を停止し、住所などの詳細な本人確認ができる郵送手続きのみ口座変更を受け付ける。

　不正対策として、24時間モニタリング体制のさらなる強化、不正アクセス検知システムによる新たな攻撃手法への対応、不審なIPアドレスからのアクセス排除（IPレピュテーションサービスの活用強化）を実施。認証面では、ワンタイムパスワードを利用したログイン認証の導入、普段と異なる環境からのログインを検知し、ユーザーに通知・アクセスを遮断する仕組みの構築、スマートフォンなど特定の端末からのアクセスのみ許可する機能などを実装するという。

　さらに、出金先の銀行口座登録における本人確認の強化、直接の出金を防止するATMカードの廃止（10月3日廃止予定）、EVERSPINによるダイナミックセキュリティ技術の導入、スマートフォンにおけるOS、アプリ改ざんなどの検知機能、ソースコードやURLの暗号化などにも取り組むとしている。