SBI証券、不正アクセスで顧客口座から約1億円流出 偽口座に送金
SBI証券が不正アクセスの被害に遭い、顧客口座から約1億円が流出。顧客名義の口座が不正に開設され、出金先が偽の口座に変更されていた。同社は流出額の全額を補償し、生体認証の採用などのセキュリティ対策を強化する方針だ。
SBI証券は9月16日、外部からの不正アクセスによって、顧客口座から9864万円が流出したと発表した。第三者が顧客名義で偽の口座を開設し、顧客資金を不正に送金していたという。被害に遭った口座は6つで、内訳はゆうちょ銀行が5口座、三菱UFJ銀行が1口座。被害総額の約94%がゆうちょ銀行に集中した。同社は流出額の全額を補填し、再発防止に向けてセキュリティを強化する方針だ。
同社によると、9月7日に顧客から「身に覚えのない取引があった」との申告を受けたことで流出が発覚。社内システムを調査したところ、第三者からの不正アクセスによる、不正な出金や有価証券の売却が複数件確認できたという。
第三者は顧客のユーザーネーム、ログインパスワード、取引パスワードなどの個人情報を悪用し、出金先の銀行口座を偽のものに変更。資金を不正に送金していた。SBI証券の担当者は「本人確認が担保されているはずの銀行口座が偽造されており、業界としても前代未聞のことだ」と話す。システムの欠陥による流出ではないという。
攻撃方法について、SBI証券は「捜査中なので詳細は答えられない」としたが、外部に流出したECサイトなどのパスワードやログインIDをリスト化し、その情報を基にログインを試みる「リスト型攻撃」の可能性を示唆した。
同社は不正アクセスの発覚後、被害を受けた顧客に個別に連絡。これから不正アクセスを受ける危険性がある顧客も特定し、出金停止やパスワードの強制リセットなどの措置を講じた。全顧客を対象に、出金先の銀行口座の変更受付も停止しており、現在は変更手続きを郵送でのみ受け付けている。
今後は再発防止に向け、生体認証を活用したワンタイムパスワードを導入したり、本人確認時の確認事項を増やしたりとセキュリティ強化を図る方針。ゆうちょ銀行や三菱UFJ銀行と連携して報告書をまとめることも検討する。
さらなる被害の拡大を防ぐため、同社は顧客に対し、他のWebサービスと同じパスワードの使用を控えるよう求めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 総務省、IoT機器“侵入”調査を強化 ログインに使うID・パスワードの組み合わせを拡大
総務省が、不正アクセスされる恐れのあるIoT機器を洗い出し、ユーザーに注意喚起を行う取り組みを強化する。IoT機器に侵入を試みる際のIDとパスワードの組み合わせを増やし、侵入できた機器を所有するユーザーへ対策を呼び掛ける。 - 犯人を名乗る人物から「ハッキングした」と報告 ママ向け情報サイトで個人情報漏えいのおそれ
MammyProが、同社の母親向け情報サイト「ママNavi」が第三者による不正アクセスを受け、個人情報を含む会員情報が流出した可能性があると発表した。攻撃者本人と思われる人物から通告されたという。 - 三越伊勢丹ECサイトに不正ログイン 会員情報1万5000件が閲覧された可能性
三越伊勢丹が、同社ECサイトと傘下のエムアイカードの会員合わせて約1万9000人が不正ログインの被害に遭い、会員情報を盗み見られた可能性があると発表した。 - ゆうちょ銀、不正な現金引き出し問題で謝罪 被害額は1800万円
複数の決済事業者の決済サービスを通してゆうちょ銀行の口座から不正に預金が引き出された問題を受け、ゆうちょ銀行は9月15日、都内で開いた緊急の記者会見で被害者やサービスの利用者に謝罪した。 - ゆうちょ銀行の不正引き出し、メルペイでも発生 被害総額は約50万円
キャッシュレス決済サービス「メルペイ」で、ゆうちょ銀行から残高を不正に引き出す被害が発生。被害件数は3件で、被害総額は合計で約50万円。