SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚

出金先として指定する金融機関の口座は、同社口座と同じ名義である必要があるが、第三者が偽造した本人確認書類を用いて金融機関に本人名義のなりすまし口座を開設していた。

ゆうちょ銀行の5口座、三菱UFJ銀行の1口座に対し、それぞれ9229万円、635万円が送金されており、同社では送金先となったこれら金融機関と連携して対応を進めているが、「すでに引き出されており出金先口座にほとんど残高はない状態だと聞いている（SBI証券広報）」という。

今回、同社オンラインサービスへログインするための「ユーザーネーム」「ログインパスワード」や、取り引きや金融機関の変更に必要となる「取引パスワード」が悪用されたが、SBI証券では同社経由の情報流出を否定している。

アカウント情報が取得された原因はわかっていないが、同社ではフィッシング攻撃やパスワードリスト攻撃などの可能性があると見ている。

特にパスワードリスト攻撃に関しては、「7月から9月にかけて不正なログインの試行が増加していたため警戒しており、不審なログインについて顧客に確認を取ったところ、顧客が行った取り引きではないことが判明した（同広報）」という。

一方で有価証券の売却や出金には、「ログインネーム」や「パスワード」以外に、「取引パスワード」も必要だ。「取引パスワード」は、ログイン用の「パスワード」と異なる文字列しか設定できず、「ID」と「パスワード」だけのシンプルなパスワードリストを悪用しただけでは、ログインまでこぎつけても口座の変更や出金は行えない。「取引パスワード」をいかに特定したか、原因究明の鍵となりそうだ。

（Security NEXT - 2020/09/16 ） ツイート

PR

関連記事

国交省の子育てエコホーム支援事業、委託先サーバがスパム送信の踏み台に
海外拠点従業員のメールアカウントに不正アクセス - サクラ工業
倉庫管理システムに不正アクセス、関係者情報が流出か - マツダ
CMS脆弱性を突かれ改ざん被害、名古屋短大など複数サイトに影響
明星食品のInstagramアカウントが不正アクセス被害
チャットアプリの従業員アカウントに不正アクセス - フィッシングに悪用
研究室サーバに不正アクセス、学外サーバ侵害からの連鎖で - 東大
AWSアカウントに不正アクセス、スパム送信の踏み台に - つくるAI
予約管理システムから顧客にフィッシングメッセージ - 福岡のホテル
農協協会のインスタアカウントが乗っ取り被害