SBI証券、不正アクセスでパスワード変更、1月20日まで

口座お金

SBI証券が悪意のある第三者による不正アクセスにより、顧客の資産が流出したと2020年9月16日プレスリリースにて報告した。悪意のある第三者は、何らかの方法で取得した顧客の「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、SBI証券のWEBサイトで出金先銀行口座を不正な銀行口座に変更した上で、出金を行っていた。SBIはセキュリティ強化対策の一環として、2021年1月20日(水)までにWEBサイトのユーザーネームとログインパスワード・取引パスワードの変更を要請している。

広告

プレスリリース(2020年9月16日)

経緯

 SBI証券は、不正アクセスに対するモニタリングを常に行っており、不審なアクセスがあれば顧客に直接連絡を行うなど対応しているが、直近において不正ログインを検知し、調査・対策を行った。

 その過程において、2020年9月7日に寄せられた身に覚えのない取引があったと一部顧客の申し出を端緒として、当該顧客のログ調査等により、不審なアクセス元を特定し、そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析した。

 その結果、悪意のある第三者による不正アクセスが認められ、顧客の有価証券の売却および顧客名義の出金先銀行口座への出金を確認した。

 現在、出金先銀行と連携して対応を進めている。

 SBIからの出金は、一部顧客の本人名義の出金先銀行口座のみに限定されているが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明している

 悪意のある第三者は、何らかの方法で取得した一部顧客の「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、当社WEBサイトで出金先銀行口座を不正な銀行口座に変更した上で、出金を行っていた

 本事案の判明後、直ちに被害を受けた一部顧客に個別に連絡し対応するとともに、被害拡大防止の観点から、今回判明した攻撃手法から不正アクセスの危険性があると考えられる顧客を幅広く特定し、「出金停止」、「パスワード強制リセット」などの措置を講じている。

 また、すべての顧客について、当社WEBサイトでの出金先銀行口座の変更の受付を停止し、住所等の詳細な本人確認ができる郵送による変更手続きのみ受付けることとしている。

 なお、本事案はSBIのシステムから、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を不正取得されたものではないとのこと。

被害の状況

・口座数:6口座 (出金先銀行:ゆうちょ銀行5口座、三菱UFJ銀行1口座)
・被害総額:合計9,864万円(ゆうちょ銀行:9,229万円、三菱UFJ銀行:635万円)

再発防止策

SBI証券は、引き続き、本事案の個別原因の分析を継続し、より有効な施策を速やかに実施すると報告している。

(1)監視

  • 不正アクセスに対する24時間モニタリング体制のさらなる強化
  • 不正アクセス検知システム(WAF)による新たな攻撃手法への対応
  • 不審なIPアドレスからのアクセス排除(IPレピュテーションサービスの一層の活用)

(2)認証

  • 一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
  • 普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
  • お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入
  • 当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化

(3)本人確認

  • 出金先銀行口座登録における本人確認の強化

(4)その他

  • 出金先銀行との連携強化(ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり)
  • 直接の出金を防止するATMカードの廃止
  • EVERSPINによるダイナミックセキュリティ技術の導入(当社およびSBIネオモバイル証券のスマホアプリに導入済み)
    ①スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
    ②ソースコード暗号化機能
    ③URLの暗号化機能 など

顧客への要請

※ 万一の場合の被害拡大を防止する観点から、他のインターネットサービス、特に他のオンライン証券やインターネットバンキングなどと同一のパスワードの利用は避けるとのこと。

※ 身に覚えのない取引等があった場合には、速やかにSBIカスタマーサービスセンター専用フリーダイヤルまで連絡するようにとのこと。捜査当局等とも連携し、速やかに対応するとしている。

※ SBI証券がお客さまに対して、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を尋ねすることはないので、そのようなお問い合わせがあった場合は、回答しないようにとのこと。

広告

セキュリティ強化対策(2021年1月20日までに)

sbiのお知らせ  出典:SBI証券

 

ーーSBI証券ホームページのお知らせにあります(赤枠)ーーーーーーーーーーーーー

 悪意のある第三者による不正アクセスのセキュリティ強化対策の一環として、一定期間ログインパスワードの変更をされていない顧客は、WEBサイトのユーザーネームとログインパスワード・取引パスワードをそれぞれ別々の内容に変更するようにと要請がありました。

  • ユーザーネーム、ログインパスワード、取引パスワードには、同一の内容を用いることはできない。
  • パスワードの変更の際は、他のインターネットサービスなどと同一のパスワードの利用は避けることを推奨している。

 

※  2021/1/20(水) 9:00時点で、「ログインパスワード」の変更をしていない場合は、SBIにて「ログインパスワード」および「取引パスワード」を順次リセットするとのこと。

※ リセット実施後は、カスタマーサービスセンターへ郵送での再発行請求が必要となるため、面倒になります。必ず事前に変更することをお勧めします。

カスタマーセンター

出典:SBI証券

 

変更する項目

  • ユーザーネーム
  • ログインパスワード
  • 取引パスワード

それぞれの変更は、30秒程度で完了します。

変更しないと

 繰り返しの説明になりますが、それぞれの変更を2021/1/20(水) 9:00時点までに実施しないと、SBIにて「ログインパスワード」および「取引パスワード」を順次リセットされてしまいます。

 その後の手続きが、郵送での再発行請求が必要になるなど、かなり面倒になるので、ご自分で各種変更手続きをした方が良いです。

私も既に手続きしましたが簡単でした。ぜひ、事前に変更してください。