ドコモ口座に端を発した不正出金問題と同様の事例は、Kyashやメルペイなどでも発生していたが、今度はネット証券の口座が狙われた事件が発覚した。

　インターネット証券のSBI証券は16日、顧客の6口座から約9864万円が流出したと発表した。

悪意のある第三者による不正アクセスに関するお知らせ

　SBI証券のサイトにアップされたプレスリリースによると、2020年9月7日に寄せられた身に覚えのない取引があったとの顧客からのお申し出を端緒として、ログ調査等により、不審なアクセス元を特定、そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析。その結果、悪意のある第三者による不正アクセスが行われ、顧客の有価証券の売却および顧客名義の出金先銀行口座への出金を複数件、確認した。

　SBI証券は出金は、顧客本人名義の出金先銀行口座のみに限定されているが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明。悪意のある第三者は、何らかの方法で取得した顧客の「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、SBI証券のWEBサイトで出金先銀行口座を不正な銀行口座に変更した上で、出金を行っていた。

　インターネット証券の口座では、資金をやりとりするための銀行口座を登録する必要がある。証券口座から銀行口座に送金するには、両口座の名義が「同姓同名」であることが条件となる。

　ドコモ口座では犯人は、紐付け先の金融機関に登録している顧客の口座にアクセスできる状況にあった。つまり金融機関の口座の暗証番号等を事前に入手していた。金融機関にあった資金をその顧客名義で開設した偽のドコモ口座に送金させてそのお金を盗んだ。

　今回のSBI証券の事件では、SBI証券にある顧客の口座に悪意ある人物がアクセスできるような状況にあった。つまり、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を何らかの手段で入手していた。

　そのSBI証券の口座にあった有価証券を売却し、口座にあった現金共々、偽の銀行口座に送金していたのである。

　偽の銀行口座といっても、今回の出金先銀行はゆうちょ銀行5口座、三菱UFJ銀行1口座とプレスリリースに表記されていたように、ゆうちょ銀行と三菱UFJ銀行に開かれていた口座である。

　つまり、ゆうちょ銀行と三菱UFJ銀行に、SBI証券の顧客の名義の偽口座が開設され、そこに有価証券の売却資金などをSBI証券から送金し、現金が悪意のある第三者に盗まれてしまったようである。

　ここで問題となるのは、まずはインターネット証券のSBI証券の口座にアクセスするための「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報をどのようにして犯人は入手できたのか。

　そして、今回は証券口座と同姓同名の銀行口座さえ作れば送金できるという仕組みが悪用された格好となるが、ゆうちょ銀行と三菱UFJ銀行にどのようにして、SBI証券の顧客名義の口座を偽造できてしまったのかというのも大きな問題となる。本人確認書類が偽造されるなどして口座が開設された可能性も指摘されている。

　ゆうちょ銀行についてはドコモ口座事件の際の出金元となっていたが、今回については入金先となっていたことになる。そして、業界最大手の三菱UFJ銀行の口座が使われたことも新たな問題となりそうである。