SBI証券、不正アクセス対策でセキュリティ強化の取り組み

証券会社お金

SBI証券が悪意のある第三者による不正アクセスにより、顧客の資産が流出したと2020年9月16日プレスリリースにて報告し、セキュリティ強化の取り組みをしている。直近の取り組みと今後の予定を解説する。

広告

セキュリティ強化対策

パスワードの変更(2021年1月20日までに)

パスワード

 

sbiのお知らせ  出典:SBI証券

 

ーーSBI証券ホームページのお知らせにあります(赤枠)ーーーーーーーーーーーーー

 悪意のある第三者による不正アクセスのセキュリティ強化対策の一環として、一定期間ログインパスワードの変更をされていない顧客は、WEBサイトのユーザーネームとログインパスワード・取引パスワードをそれぞれ別々の内容に変更するようにと要請がありました。

  • ユーザーネーム、ログインパスワード、取引パスワードには、同一の内容を用いることはできない。
  • パスワードの変更の際は、他のインターネットサービスなどと同一のパスワードの利用は避けることを推奨している。

 

※  2021/1/20(水) 9:00時点で、「ログインパスワード」の変更をしていない場合は、SBIにて「ログインパスワード」および「取引パスワード」を順次リセットするとのこと。

※ リセット実施後は、カスタマーサービスセンターへ郵送での再発行請求が必要となるため、面倒になります。必ず事前に変更することをお勧めします。

カスタマーセンター

出典:SBI証券

 

変更する項目

  • ユーザーネーム
  • ログインパスワード
  • 取引パスワード

それぞれの変更は、30秒程度で完了します。

 

変更しないと

 繰り返しの説明になりますが、それぞれの変更を2021/1/20(水) 9:00時点までに実施しないと、SBIにて「ログインパスワード」および「取引パスワード」を順次リセットされてしまいます。

 その後の手続きが、郵送での再発行請求が必要になるなど、かなり面倒になるので、ご自分で各種変更手続きをした方が良いです。

私も既に手続きしましたが簡単でした。ぜひ、事前に変更してください。

 

多要素認証の導入

顔認証

 

ログインおよび出金指示等の特定の操作の認証手段として、多要素認証を実装する。

 従来のパスワード認証と新たに導入する他の認証方法を組み合わせることで、より安心・安全なお取引環境を提供できる。

 

FIDO認証

 スマートフォンの生体認証等を連携させた多要素認証であるFIDO認証※1※2を、各チャネルに順次導入する。

  • ※1 FIDO認証はパスワード認証とは異なり、多要素認証という新しい認証方式の一つである。なお、生体認証に関わるお客の生体情報は、サーバー上に保存しない。
  • ※2 FIDO認証の利用にはSBI証券 株アプリが必要である。

 

 

SBI証券セキュリティ強化

デバイス認証

スマホ認証

 

認証手段の一つとしてデバイス認証を各チャネルに順次導入する。

 ID・パスワードによる認証に加えて、操作可能なデバイスを限定することで、より安心・安全なお取引が可能となります。

 

SBI証券セキュリティ

 

 

通知機能の強化

 ログイン、出金指示、住所変更等のメール配信の対象お手続きの拡充をはじめ、お客への通知機能の強化を進めている。

 

メール配信の対象となるお手続きの拡充

 

以下の手続きの際にメール配信を行っている。

  • お名前の変更
  • ご住所の変更
  • お電話番号(ご自宅)の変更
  • 携帯電話番号の変更
  • 国内上場外国株配当金振込先口座の変更
  • Eメールアドレスの登録
  • Eメールアドレスの削除
  • 出金指示
  • ログイン

 インターネット取引におけるセキュリティ強化のため、お客の登録情報の変更申込があった場合、および出金指示があった場合に、登録のEメールアドレス宛に手続きがあったことを知らせるメール配信を開始している。

 メール配信は、Eメール通知サービスの利用状況が「通知しない/配信停止」に設定されているお客にも配信され、メールの配信停止はできない。

 今後、ユーザーネーム、ログイン・取引パスワードの変更手続きがあった場合の配信も予定している。

 

 

 

ログイン履歴の拡充

今後、全てのお取引チャネルにおけるログイン履歴を確認できるようする。

 

その他のセキュリティ強化

当社サイトにおけるお客さま情報のマスキング

 お客のPCの背後からの盗み見や、悪意のある第三者にログインされた際の個人情報漏洩防止のため、サイト内のお客の特定する情報に、マスキングを行う。

マスキングの対象となる項目

  • 氏名
  • 生年月日
  • 住所
  • 電話番号
  • メールアドレス
  • 振込先金融機関の口座番号

パスワードの桁数拡張

 安全性を高めるために、パスワードを長く複雑にすることが推奨されており、今後パスワードの桁数拡張を行う。

 

 

広告

プレスリリース(2020年9月16日)

プレスリリース

 

経緯

 SBI証券は、不正アクセスに対するモニタリングを常に行っており、不審なアクセスがあれば顧客に直接連絡を行うなど対応しているが、直近において不正ログインを検知し、調査・対策を行った。

 その過程において、2020年9月7日に寄せられた身に覚えのない取引があったと一部顧客の申し出を端緒として、当該顧客のログ調査等により、不審なアクセス元を特定し、そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析した。

 その結果、悪意のある第三者による不正アクセスが認められ、顧客の有価証券の売却および顧客名義の出金先銀行口座への出金を確認した。

 現在、出金先銀行と連携して対応を進めている。

 SBIからの出金は、一部顧客の本人名義の出金先銀行口座のみに限定されているが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明している

 悪意のある第三者は、何らかの方法で取得した一部顧客の「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、当社WEBサイトで出金先銀行口座を不正な銀行口座に変更した上で、出金を行っていた

 本事案の判明後、直ちに被害を受けた一部顧客に個別に連絡し対応するとともに、被害拡大防止の観点から、今回判明した攻撃手法から不正アクセスの危険性があると考えられる顧客を幅広く特定し、「出金停止」、「パスワード強制リセット」などの措置を講じている。

 また、すべての顧客について、当社WEBサイトでの出金先銀行口座の変更の受付を停止し、住所等の詳細な本人確認ができる郵送による変更手続きのみ受付けることとしている。

 なお、本事案はSBIのシステムから、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を不正取得されたものではないとのこと。

被害の状況

・口座数:6口座 (出金先銀行:ゆうちょ銀行5口座、三菱UFJ銀行1口座)
・被害総額:合計9,864万円(ゆうちょ銀行:9,229万円、三菱UFJ銀行:635万円)

再発防止策

SBI証券は、引き続き、本事案の個別原因の分析を継続し、より有効な施策を速やかに実施すると報告している。

(1)監視

  • 不正アクセスに対する24時間モニタリング体制のさらなる強化
  • 不正アクセス検知システム(WAF)による新たな攻撃手法への対応
  • 不審なIPアドレスからのアクセス排除(IPレピュテーションサービスの一層の活用)

(2)認証

  • 一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
  • 普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
  • お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入
  • 当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化

(3)本人確認

  • 出金先銀行口座登録における本人確認の強化

(4)その他

  • 出金先銀行との連携強化(ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり)
  • 直接の出金を防止するATMカードの廃止
  • EVERSPINによるダイナミックセキュリティ技術の導入(当社およびSBIネオモバイル証券のスマホアプリに導入済み)
    ①スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
    ②ソースコード暗号化機能
    ③URLの暗号化機能 など

顧客への要請

※ 万一の場合の被害拡大を防止する観点から、他のインターネットサービス、特に他のオンライン証券やインターネットバンキングなどと同一のパスワードの利用は避けるとのこと。

※ 身に覚えのない取引等があった場合には、速やかにSBIカスタマーサービスセンター専用フリーダイヤルまで連絡するようにとのこと。捜査当局等とも連携し、速やかに対応するとしている。

※ SBI証券がお客さまに対して、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を尋ねすることはないので、そのようなお問い合わせがあった場合は、回答しないようにとのこと。