相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説（2/2 ページ）

[谷井将人，ITmedia]

SBI証券の不正送金事案　狙われた経験が少なく手薄に

　SBI証券では、悪意のある第三者がSBI証券の証券口座に不正ログイン。偽造した本人確認書類を使って証券口座と同名義のゆうちょ銀行口座を作り、現金を引き出す事案が発生した。他社のWebサイトから流出したIDとパスワードを使ったパスワードリスト攻撃で不正ログインしたとされている。

　徳丸さんによると、証券会社のWebサイトは二段階認証の仕組みを導入していないなど、ネットバンキングと比べて認証の仕組みが甘い傾向にあるという。保険として、証券口座と同名義の銀行口座にしか出金できない仕様にしていたが、今回の事案ではそこが抜け穴になった。

　徳丸さんは「証券会社は今まで狙われたことがあまりなく、（サイバーセキュリティ体制が）手薄になっていた」と分析している。

「mijica」の事案　認証コードを無限に調べられる部分があった

　ゆうちょ銀行が提供するVISAデビット・プリペイドカードのmijicaでは、悪意のある第三者が任意のアカウントに不正ログインし、不正利用する事案が発生した。

　徳丸さんは、犯人が不正に取得したIDとパスワードでmijicaアカウントに不正ログイン。表示されるカード番号の下4桁を基にカード番号を総当たりして調べ、買い物で不正利用したと考えている。

　アカウント間の不正送金の際には送金時の確認作業の抜け穴を突いた可能性があるという。mijicaアカウント間の送金にはIDとパスワードの他に、mijicaカードの裏面にある5桁の数字が必要だが、試行回数に制限がなく、総当たりで番号を探せる状態だったという。

　徳丸さんは、これらの攻撃について、いずれもそれぞれのWebサイトの仕様を熟知していないと難しいことから、海外の人にとっては攻撃しにくいだろうと推測する。「国籍は分からないが、日本に拠点があり、サービスのことをよく調べた人がやっている可能性がある」と説明した。

　金融機関がサイバーセキュリティの意識を高く持つには、「長期的にみると、利用者や国民など決済サービスを使う側から、セキュリティの高いものを使いたいという声が増えないとなかなか（企業の意識は）上がらない。利用者側の意識も必要」とした。