楽天証券の証券口座に不正アクセス、そして不正取引があった件について、画像もなく、思ったままにつらつらと。
本件の概要
自身の証券口座に不正アクセスされ、持ち株を全て売却された後、それにより生じた買付余力を特定の中国株の買付に使用されたもの。
- 加害者:不正アクセスを試み、他人の口座で株取引を実行した人
- 被害者:不正アクセスされ、意図せず株取引を実行された人
加害者の思惑(想像)
加害者が特定の中国株を自己資金で買い、その株を「高値で売り注文」し、不正アクセスした証券口座にて、その「高値の売り注文」を買わせ、差益を得るもの。
加害者がいつ頃から仕込み、どれくらいの期間で売り分けていたのかはわかりませんが、相当な利益を手にしたと想像できます。
※本件の株は「アンバー・ヒル・フィナンシャル・ホールディングス」だとされています。
不正アクセスの手法
フィッシング詐欺、もしくはウィルス感染とされています。
楽天証券は死に物狂いで各種ログを調べているかと(信じています)思いますが、おそらく外部から侵入されてID、パス、取引パスを窃取されたとは考えにくいでしょう。認証情報はハッシュ化されているでしょうし、仮に証券会社でそのようなことがあるのならそれはもうヤバい(語彙)。
やはり考えられるのは、フィッシング詐欺。なんらかの手法で偽サイトに誘導され、そこにID、パス、取引パスを入力してしまうというもの。
次点で、なんらかのコンピュータウィルス。ブラウザに保存したパスワードを盗み取るようなものがあるとしたら、それかもしれない。ただ、これだとすると他の証券会社でも同様の被害が出そうですので、ちょっと怖いですね(わたしSBIユーザー)。
他に思いつくとしたら…キーロガー、ソーシャルエンジニアリング攻撃(技術を必要としない手法)、パスワードリスト攻撃(他のサイトから流出したIDとパスの組み合わせで不正アクセスをする手法)でしょうか。
対策
- 証券口座にログインする際は、メールやwebサイトからのリンクでアクセスせず、普段から使用しているやり方(ブラウザのブックマークや公式アプリの使用)でログインする。
- ブラウザ、アプリに取引パスワードを保存しない。
- ウィルス対策ソフトを導入する。
- 多要素認証を利用する。
- 生体認証を利用する。
- 他のサイトと同じパスワードを使用しない。
- フリーwifiを使用しない。
①の対策は、フィッシング詐欺対策です。メールから詐欺サイトへの誘導はよくある話ですが、通常のwebサイトに見える詐欺サイトにて詐欺サイトへのリンクを踏ませるということもあります。
詐欺サイトはまず見抜けません。パッと見でわかる人はまずいません。詐欺サイトへ繋がる偽リンクを踏まないことが大切です。
②の対策は、コンピュータウィルスへの対策です。ログインIDはまだいいとして、取引パスワードを保存させてしまっては、ブラウザに何らかの脆弱性が発見された際にすべて窃取されてしまいます。
③の対策は、文字通りコンピュータウィルスへの対策です。ゼロデイ攻撃ではないだろうし、本件の原因が世に知られたウィルスによるものなのであれば、ウィルス対策ソフトが駆逐してくれます。
④の対策は、不正アクセス全般に効果的な対策です。ID、パスワードの他に、登録している電話番号へのSMS送信等により追加のパスワードを知らせ、それを入力させるものが一般的です。いわゆる「ワンタイムパスワード」ですね。ただ、証券口座やアプリがこれに対応していないことには難しいでしょう。なお、これを突破する攻撃手法(MITB攻撃)も存在はしますが、まあたぶん大丈夫です。
⑤の対策は、キーロガーやソーシャルエンジニアリング対策。生体認証を利用することで、そもそもパスワードを入力せずに済みます。ただ、アプリがこれに対応していないことには難しいでしょう。
⑥の対策は、パスワードリスト攻撃への対策です。セキュリティ的に脆弱なサイトは多くあり、そういったサイトと同じID、パスワードを使用してしまっては、そのサイトから情報の漏えいがあった際に、自身の証券口座に不正アクセスされる危険性が高まります。
⑦の対策は、通信の盗聴への対策です。暗号化がされていないwifiを使用すると、同じwifiを使用する人はその通信内容を盗聴できてしまいますので、各種入力内容を盗み見られてしまいます。
※とはいえ、証券口座との通信は「HTTPS(通信を暗号化するやつ)」で行われるため、盗聴は実質的に不可能だし、よほど旧世代のwifiアクセスポイントでない限り「プライバシーセパレーター」という機能で他人の通信を覗き見れないようになっているため、この対策はそこまで効果はないとも考えられます
わたしが実施している対策は
- 証券口座にはアプリもしくはブラウザのブックマークからアクセスすること。
- ブラウザとアプリに取引パスワードを保存せず、必ず手入力をすること。
- 外出先で証券口座にアクセスする際にはwifiを使用せず、スマホのSIM回線を使用すること。
- 人目につくところで株取引をしないこと。
- 証券口座のログインID、パスワード、取引パスワードは、他のサイトと別のものにすること。(証券口座ごと違うものを設定しています)
特に意識しているのは「取引パスワードを保存しないこと」です。面倒ですが、取引パスワードは最後の砦です。多少の不便さは耐えましょう、証券口座だけは特別扱いするべきです。あなたの命の結晶ですから。参考にしてください。
補償の有無
難しいでしょう。明らかに楽天証券側に落ち度があるとわかれば何かあるかもしれませんが、そうでない場合、楽天証券側から見たら顧客が株取引で損失を出しただけなので、会社として補償するものは何もありません。
仮に、仮にです。万が一にもあり得ることではないと思いますが、買わされた中国株が爆上げした場合、どうですか?どのような補償が発生するでしょう?損失の補償は求めるけど、利益は手放さない。これは成り立ちませんよね。なので、こういった詐欺の補償は難しいのです。加害者の逮捕はできると思いますが。
とはいえ、被害者には何らかの補償がされるといいのになとは思います。どのようにパスワードが窃取されたか次第ではありますが、あまりにも不憫すぎる。
不安な人は、取り急ぎ各種パスワードを変えるといいですね。証券口座のログイン履歴って見れたっけ?いまメンテナンス中で確認できないんだよね…。身に覚えのないログインがあったら…もう戦慄だね。
情報セキュリティには気をつけましょう。悲しいですが、稼ぐ時代から奪う時代になりつつあります。犯罪はすぐそこであなたを狙っています。できる限りの自衛を心がけましょう。
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
今回の記事、参考になりましたか?
よろしければ、下の応援ボタンをポチポチしてくださいませ。本当に励みになります…
