SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚

出金先として指定する金融機関の口座は、同社口座と同じ名義である必要があるが、第三者が偽造した本人確認書類を用いて金融機関に本人名義のなりすまし口座を開設していた。

ゆうちょ銀行の5口座、三菱UFJ銀行の1口座に対し、それぞれ9229万円、635万円が送金されており、同社では送金先となったこれら金融機関と連携して対応を進めているが、「すでに引き出されており出金先口座にほとんど残高はない状態だと聞いている（SBI証券広報）」という。

今回、同社オンラインサービスへログインするための「ユーザーネーム」「ログインパスワード」や、取り引きや金融機関の変更に必要となる「取引パスワード」が悪用されたが、SBI証券では同社経由の情報流出を否定している。

アカウント情報が取得された原因はわかっていないが、同社ではフィッシング攻撃やパスワードリスト攻撃などの可能性があると見ている。

特にパスワードリスト攻撃に関しては、「7月から9月にかけて不正なログインの試行が増加していたため警戒しており、不審なログインについて顧客に確認を取ったところ、顧客が行った取り引きではないことが判明した（同広報）」という。

一方で有価証券の売却や出金には、「ログインネーム」や「パスワード」以外に、「取引パスワード」も必要だ。「取引パスワード」は、ログイン用の「パスワード」と異なる文字列しか設定できず、「ID」と「パスワード」だけのシンプルなパスワードリストを悪用しただけでは、ログインまでこぎつけても口座の変更や出金は行えない。「取引パスワード」をいかに特定したか、原因究明の鍵となりそうだ。

（Security NEXT - 2020/09/16 ） ツイート

PR

関連記事

闇サイトでの個人情報流通を契機に不正アクセス判明 - 不動産管理会社
海外グループ会社にサイバー攻撃、国内への影響なし - ダイヘン
予約管理システムから個人情報が流出した可能性 - 呉竹荘
近江八幡市のXアカウントが乗っ取り被害 - DMなどに警戒を
笹だんごの通販サイトに不正アクセス - 個人情報流出の可能性
教員2人のメルアカ侵害、差出人情報流出のおそれ - 中央大
サイトが改ざん被害、オンラインカジノへ誘導 - 東京外大
都委託先でサポート詐欺被害 - 個人情報流出のおそれ
システムに不正アクセス、予約者にフィッシングメール - 沼津リバーサイドホテル
ゴルフスクールのインスタアカが乗っ取り被害 - 意図しない投稿