2017-08-07

日本証券会社セキュリティ対策ゴミすぎる

ありとあらゆる国内証券会社で、株取引画面にアクセスする際のスマートフォンアクセストークンによる二段階認証(多要素認証)などの、ログイン用のIDパスワード流出してしまった”後”の対策が一切されていない。

まりIDパスワード流出した時点で、第三者によって自由に株取引がされてしまリスク利用者は常に負っているということになる。

例えばGoogleYahooAmazonでは、認証されていない端末やブラウザからアクセスがあった場合は、登録されている電話番号SMS送信し、本文に記載されているワンタイムパスワード入力しないとログインができないようにする二段階認証採用している。

国内でも、大手銀行ネットバンキングでは、出金手続きをする際は専用のアクセストークンスマホアプリに表示されるワンタイムパスワード入力を求められる。

しかし、何故か国内企業の証券口座に関してはこういったIDパスワード流出してしまった”後”の対策が一切されていない。

証券会社側の弁護もしておくと、銀行口座への出金に関しては、契約者の名義と出金先の銀行口座名義の姓名がカタカナで一致しないと出金できない仕様になっているところが多いようだ。

しかし株取引に関してはIDパスワードだけで自由に行うことができてしまい、ネット上でのイタズラ目的などで不正取引をされ、結果的に莫大な金銭的損失を被る可能性は常にある上に、登録されている個人情報に関しては見られ放題で、まさにやりたい放題ということになる。

個人的に気に食わない身近な人物ログイン情報ソーシャルエンジニアリングで抜き取ったり、株関連のブロガーや株取引を実況する動画配信者などのネット活躍する人物ターゲットをしぼってログイン情報を抜き取り、不正な株取引金銭的な損害をあたえることは充分に可能ということになる。torをつかってIPアドレス偽装してしまえば、刑事事件に発展したとしてもIPアドレスから犯人特定することは実質的不可能になってしまい、中学生でも簡単完全犯罪ができてしまうということになる。

もちろん、前述のような対策をとったからといってフィッシングサイトワンタイムパスワード入力させられる等の手口もあるため100%リスク回避できるというわけはないが、現時点で一般的実施されているIDパスワードによる認証に加えて、SMSやワンタイムトークンによる二段階認証採用すれば、IDパスワード流出に起因する不正アスセスリスクの大部分は回避できるであろうと思われるのにも関わらず、国内の多くの証券会社がその対応をしていないのは、単純に対応を怠っているとしか思えない。

私が確認したところでは

においては、この記事執筆時点ではIDパスワード流出した”後”におけるこれらの対策はされていないようだった。

以前、何社かにこれらのセキュリティリスクについて電話窓口で指摘したところ、例のごとく「パスワードを定期的に変更(以下略」と言われてしまった。

しかしこの「パスワードの定期変更」については以前から、定期変更を繰り返すことで必然的に覚えやす簡単パスワードを設定するユーザーが増えてしまう、毎回複雑なパスワードを設定したとしても覚えられない為にメモを残してしまいそれがセキュリティリスクになる等の問題点が指摘されており、2018年から総務省でも「パスワードの定期変更は不要」という見解を示している。

利用者としては、大金を預けている以上は最低限のセキュリティ対策をしてほしいところではあるが、専用窓口でその旨を伝えても「面倒くさい人が来た」という対応をされてしまい、何だかなぁという感じだった。

大事件が起こる前に、早急に対策が取られることを願う。

追記

(2020/09/16)

ついにその”大事件”が起きてしまった。

報道各社によると、SBI証券で悪意のある第三者による不正アクセスにより利用者有価証券売却および、偽造した本人確認書類を利用するなどして、当該銀行口座そのもの不正に開設した“偽口座”への出金が複数確認されたとのこと。被害総額は現時点で9864万円とのことらしい。第三者不正アクセスによる有価証券不正取引どころか、偽口座へ出金までされる事態になってしまった。SBI証券では、利用者任意ではあるが「PC登録あんしんサービス」というサービス名でメールアドレスによる二段階認証を早期に導入した数少ない証券会社であっただけに残念。余談ですが、この記事最初投稿してから以降、7ペイ騒動等の相次ぐセキュリティインシデントの発覚を受けて、松井証券など一部の証券会社では電話番号等による二段階認証を導入している。しかしこれらの利用はあくま任意であり、セキュリティ意識の高い利用者以外は従来通りのIDパスワードだけの認証に留まっているのが現状のようです。

  • マネックス、カブコム、楽天証券は二要素認証を導入したようだが、事件を起こした張本人のSBI証券はなんと未だに導入してない。 現在、出金先口座変更依頼のネットでの受付は停止し...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん