楽天証券、“不正取引”多発 「当社からの漏洩ではない」としつつも緊急対応に追われる事態に

[芹澤隆徳，ITmedia]

　楽天証券の一部利用者が保有していた株式を勝手に売却され、中国株を買われるなどの“不正取引”が多発した。同社は3月21日に注意喚起を行い、追加認証の導入や一部中国株の売買停止など対策に追われた。

トップページで大きく注意喚起（出典：楽天証券のWebサイト）

　楽天証券は「いずれのケースも、当社からの漏洩ではないことは確認済み」としており、多くはフィッシング詐欺によるものとみている。フィッシング詐欺は、実在する企業や金融機関のWebサイトそっくりの偽サイトを使い、メールなどで誘導した利用者にIDやパスワードを入力させてだまし取る手口だ。「昨今のフィッシング詐欺事例は、非常に巧妙になっている。フィッシングにあったこと自体を認識されていない方も多いと考えている」（楽天証券）。

　なお、今回のケースでは複数の被害者が報道番組の取材に対してフィッシングとは思えないと話しており、SNS上ではマルウェア感染など別の可能性を指摘する声も上がっている。

直ちにログイン追加認証サービスを設定して

　楽天証券は21日夜、利用者に向け「直ちにログイン追加認証サービスの設定をしていただき、ご自身の資産の保全を図ってください」という緊急のメールを送信した。併せて同日午後8時には、被害者が勝手に買われた中国株式11銘柄の買い注文を一時停止し、過去1年間に中国株式の売買を行った利用者に告知した。

21日夜に利用者に送ったメール。「直ちにログイン追加認証サービスの設定をしていただき、ご自身の資産の保全を図ってください」とある

　ログイン追加認証サービスは、図柄を使ったワンタイムパスワードをユーザーにメールで送信する二要素認証だ。認証コードは利用者が入力するのではなく、システムが提示した8つの候補の中から選択するスタイルのため、仮にフィッシングサイトが似たものを作っても、数百ある図柄の中から2つの正解を含めて提示できる可能性は低い。

ログイン追加認証サービス。仮にフィッシングサイトが似たものを作っても、数百ある図柄の中から2つの正解を含めて提示できる可能性は低い

　さらに同社は、22日から23日にかけてシステムメンテナンスを行い、「リスクベース認証」を導入した。これは利用者がPCやスマートフォンで楽天証券のWebサイトにログインしようとした時、普段と異なるデバイスだった場合に限り、SMSあるいはフリーダイヤルによる追加認証を求める仕組み。これにより、仮に第三者がログインIDやパスワードを入手しても、登録済みの電話番号を利用した本人確認が行えずログインできない。

「以前より導入・提供している二要素認証の利用、パスワードの変更を強くお願いしているが、さらなるセキュリティ強化対策としてリスクベース認証を導入した。今後も継続的にセキュリティ対策強化を図っていく」

　楽天証券は利用者に向け、取引暗証番号の変更や二段階認証（ログイン追加認証サービス）の設定、そしてリスクベース認証に使う登録済み電話番号の確認を求めている。