想定される不正アクセスの手法
1. リアルタイムフィッシング
SMSやメールで悪意のあるリンクを送信し、フィッシングサイトに誘導。入力されたユーザー名、パスワード、2要素認証情報を即座に使用して不正ログインする。
攻撃の流れ:
- フィッシングメール・SMSからリンクをクリック
- 偽のログイン画面でユーザー名・パスワード・2要素認証情報を入力
- 攻撃者が入手した情報を即座に使用して本物のサイトにログイン
2. AITM(Adversary in the Middle)攻撃
ユーザーと本物のウェブサイトの間に「中間者」として介入する攻撃。
攻撃の流れ:
- フィッシングサイトに誘導
- 入力された情報を自動的に本物のサイトに転送
- 本物のサイトからの応答もリアルタイムで転送されるため、ユーザーは本物のサイトと通信していると誤認
- 攻撃者は取得した認証情報を使って自由に口座を操作
3. インフォスティーラー(情報窃取マルウェア)
PCやスマホに侵入して情報を盗み出すマルウェア。
攻撃の例:
- Adobe Readerなど正規ソフトを装ったマルウェアをダウンロードさせる
- 管理者権限を奪取し、PCの情報やブラウザの情報を収集
- Chromeなど偽のアプリを作成し、ウイルス対策ソフトの検出を回避
- ユーザーが入力した認証情報を盗み出す
※ダークウェブでは費用を払えば専門知識がなくても購入可能
ユーザーが実施すべき対策
1. 証券会社が提供するセキュリティ対策を全て実施する
| SBI証券 |
楽天証券 |
- メールアドレス登録とデバイス認証の設定
- FIDO認証(スマートアプリ認証)の設定
|
- ログイン追加認証(多要素認証)の設定
- ログインパスワードの変更(他社と同じものにしない)
- 取引暗証番号の変更(数字だけでなく文字・記号も使用)
- 出金時のSMS認証の設定
- 不正出金のロック設定
|
2. 利用しない取引の停止を依頼する
証券会社に電話をして、利用しない取引タイプ(国内株式、海外株式など)の停止を依頼する。
例:投資信託しか使わない場合は、その他の取引を全て停止する
楽天証券では「証券口座の一時的な利用停止」も可能(自動音声で数分で完了)
3. 基本的なセキュリティ対策
- 最新のウイルス対策ソフトを導入・更新する
- OSやブラウザを最新バージョンに更新する
- メールやSMSのURLは絶対にクリックせず、お気に入りから証券会社へアクセスする
- 証券会社からのメールは必ず読み、不審な取引がないか確認する
- 使っていない証券口座は解約する
証券会社のセキュリティ対応状況
SBI証券の問題点
- バックアップサイトで2要素認証が機能しないセキュリティホール(5月2日に終了)
- 4月21日に約款を更新し「お客様自身が入力したか否かに関わらず」免責を強調
楽天証券の問題点
- アプリのセキュリティ対策が遅れていた(一部は5月10日対応予定)
- 3月22日の時点で既に「お客様自身が入力したか否かに関わらず」という免責条項あり
被害補償の申し合わせをした主要証券会社10社
SMBC日興証券、SBI証券、大和証券、野村証券、マネックス証券、松井証券、みずほ証券、三菱UFJモルガン・スタンレー証券、三菱UFJスマート証券、楽天証券
※「各社の約款等の定めに関わらず一定の被害保障を行う方針」を表明したが、全額保障かどうかは不明