ドコモ口座被害を大きく上回るSBI証券の不正出金

ドコモ口座の不正出金が世間を騒がせて、ようやく少し落ち着きを見せたとき、驚きのニュースが入ってきました。SBI証券において顧客口座からの9864万円もの不正出金があったというのです。しかもたった６件の被害で生じている金額となります。

ドコモ口座の被害は莫大なものとなっているイメージがあります。しかし、被害総額は公表されている資料では合計で2764万円となっています（9月18日0時時点）。しかもそれが162件で生じています。

件数でいえば27分の１でありながら、金額ベースでは3.6倍です。１件あたりの被害額がドコモ口座17万円、SBI証券が1644万円となります。比べるとSBI証券の今回の被害が対照的に大きいことが分かります。

今回の被害の基本パターンは、本人の同意なくログインされ、出金口座を本人のものではない口座（しかし同姓同名の口座らしい）に変更され、保有資産を売却、出金された、というもののようです。

これを受け、ネット証券会社の多くでは、出金口座の変更についてはオンラインでは認めないという対応で一時的に被害拡大を防ぐ対応策を講じています。

この被害、できればこれ以上拡大してほしくないのですが、「なぜこんなに被害額が大きいのか」「同種の被害はこれ以上拡大する可能性が高いのか」「対策はあるのか」について、現状分かっている範囲で考えてみたいと思います。

　9/18　NTTdocomoリリース　ドコモ口座被害額について

　9/16　SBI証券　悪意のある第三者による不正アクセスに関するお知らせ

　9/16　impressWatch　SBI証券、顧客資産9,864万円が流出。不正な銀行口座に出金

ドコモ口座の被害に比べてSBI証券の被害が大きい理由

ドコモ口座の被害が思ったより小さいことには、シンプルな理由があります。それは「出金上限額」があったことです。「１度あたり10万円」「１カ月あたり30万円」の上限があったため、無制限に出金することはできない仕様でした。

ドコモ口座　ご利用案内（ご利用条件・手数料をクリック）

確かにｄ払いなどの電子決済に利用するには何百万円も必要ではありません。私も実はｄアカウントをもっていて、銀行からｄ払いのために出金していますが、せいぜい月１万円となるかどうかです（コンビニでの利用が中心）。

これは結果として被害の拡大を食い止める効果を生み出しています。平均被害額17万円と小さいのはそのためです（悪意ある第三者としてはとにかく下ろせるだけ下ろしたいはず）。なっていますし、マックスの被害額も２カ月分にあたる60万円程度だといわれています。

一方で、SBI証券のケースでは、証券会社に入金していたお金をごっそり引き出すことができるような不正操作が行われたものとみられます。

投資資金は人によりそれぞれですが、数千万円以上になることも珍しくありません。大口の投資家なら数億円を入金していることもあります。

一方で、出金額に制限をかけないのが普通です。利用者本人が必要と判断して株を売ってお金を下ろすことを妨げるわけにはいかないからです。そのため、被害額が大きくなっているものと思われます。

ただしSBI証券の事例はそう簡単に多発しないと思われる

とはいえ、今回のSBI証券のケースがそう簡単に多発するとは考えにくいと思います。なぜなら、

・ログイン時のIDとパスワードを盗む必要がある

・本人と同姓同名の口座を作る必要がある

という要件を満たしたと考えると、これは無作為にプログラムで行える範囲を超えているからです。特に本人と同姓同名の銀行口座を作成することはそう簡単ではありません（本当に同姓同名の人を見つけてきたのなら口座は作れますが人捜し自体が簡単ではありません。一方で完全に偽装した身分証明書で口座が作られたのであれば、相当難易度の高い行為で、銀行としてはショックの大きいところです）。

これはかなり意図的に「個人の資産家」をねらった犯罪の可能性が高いと考えられます（もちろん、金融機関のシステムにハッキング等がされていないという前提ですが、今のところデータ流出は確認されていないとしています）。

現状で明らかになっている情報を見る限り、

「何らかの形で高額の投資資金を保有していることを知った第三者があらわれる」

「第三者が、同姓同名の口座を作成する」

「ネット証券の口座に不正ログインをして、出金口座の変更を行う（同姓同名なのでチェックをパスしてしまう）」

「株式等を不正に売却、出金を行った」

という流れでの犯罪ではないかと思われます。

つまり、意図的に本人口座の偽装をしているわけで、それほど簡単に何百件も現れるとは考えにくいというわけです。

そもそもの口座番号やパスワードの流出の経路は気になります。フィッシングサイト経由なのか、キーロガーのような不法プログラムのインストールによるものなのか、カフェで後ろからパスワードを覗いて盗むようなショルダーハッキングなのかは現状では分かりません。

それでもそう簡単に流出するとは考えにくく、被害が一気に何百件に拡大することはないと予想します（犯罪者が一枚上手ならそれ以上の被害もあるかもしれません。できればこの予想は当たって欲しいところです……）。

ただし、証券会社はシステムの見直しが急務か

今回の被害は利用者に過失がない不正アクセスであることから、SBI証券が全額補償するとしています。同種の問題が起きても同様の対応が取られると考えられ、利用者はネット証券会社からいきなり手を引く必要はないと思われます。

今回の不正出金、証券会社はトラブルのあった顧客からの指摘を得て、不正ログインの形跡を補足できたようです。最初の案件とは別の事例も補足できたようで、これで被害が収束を見れば幸いです。

ただ、証券会社のシステムがちょっと本人認証や確認のシステムが甘かったところがあり、隙を突かれた要素もあるように思えます。

実はネット証券のシステムは2000年代、スマホもタブレットもまだ世の中にないころから稼働しています。SBI証券（当時はイートレード証券）は1999年秋からサービス開始しているほどです。

当時はパソコンとブラウザを使った取引が想定されていたため、「ユーザー名（ID）」「パスワード」というシンプルなログインシステムを使ってきました。売買取引のときに第２パスワードを設定していることもありますが、古いシステムです。

最近であれば、「スマホのSMSメッセージ」や「ワンタイムパスワード」「スマホの生体認証」などを活用して本人確認を取ることが一般的ですが、当時はそんなものはありませんでした。

あるいは、引き落とし口座の変更等の重大な修正があれば、メールなどを送ってOKのクリックをさせるステップを踏むだけでも一定の抑止効果がありますが、「一度ログインしたら、あとは顧客を信用する」という基本スタイルが、ここでは狙われてしまった構図です。

（もちろんセキュリティが20年前という意味ではありません。例えば、総当たりでパスワードを突破しようとする不正ログインなどは当然弾かれます）

SBI証券のプレスリリースでは認証体制の強化として

「一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入（二要素認証）」

「普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入（リスクベース認証）」

「お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入」

「当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化」

などを掲げています。

複雑にすればいいものではない、というのがセキュリティ強化の難しいところですが、不正なアクセスを本人と金融機関サイドが双方で検知するうまい仕組みを講じつつ、利便性はできるだけ落とさないようにしていただきたいところです。