SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚

出金先として指定する金融機関の口座は、同社口座と同じ名義である必要があるが、第三者が偽造した本人確認書類を用いて金融機関に本人名義のなりすまし口座を開設していた。

ゆうちょ銀行の5口座、三菱UFJ銀行の1口座に対し、それぞれ9229万円、635万円が送金されており、同社では送金先となったこれら金融機関と連携して対応を進めているが、「すでに引き出されており出金先口座にほとんど残高はない状態だと聞いている（SBI証券広報）」という。

今回、同社オンラインサービスへログインするための「ユーザーネーム」「ログインパスワード」や、取り引きや金融機関の変更に必要となる「取引パスワード」が悪用されたが、SBI証券では同社経由の情報流出を否定している。

アカウント情報が取得された原因はわかっていないが、同社ではフィッシング攻撃やパスワードリスト攻撃などの可能性があると見ている。

特にパスワードリスト攻撃に関しては、「7月から9月にかけて不正なログインの試行が増加していたため警戒しており、不審なログインについて顧客に確認を取ったところ、顧客が行った取り引きではないことが判明した（同広報）」という。

一方で有価証券の売却や出金には、「ログインネーム」や「パスワード」以外に、「取引パスワード」も必要だ。「取引パスワード」は、ログイン用の「パスワード」と異なる文字列しか設定できず、「ID」と「パスワード」だけのシンプルなパスワードリストを悪用しただけでは、ログインまでこぎつけても口座の変更や出金は行えない。「取引パスワード」をいかに特定したか、原因究明の鍵となりそうだ。

（Security NEXT - 2020/09/16 ） ツイート

PR

関連記事

健康商材のB2Bマッチングサイトに不正アクセス - 顧客情報が流出
サーバがランサム感染、取引先情報が流出の可能性 - 無線通信機器メーカー
サーバに不正アクセス、取引先や株主情報など流出 - 研創
ネックストラップ通販サイトに不正アクセス - 個人情報流出の可能性
獣医学本販売サイトに不正アクセス - 個人情報流出の可能性
スポーツ用品通販サイトに不正アクセス - 個人情報流出の可能性
日本茶の通販サイトに不正アクセス - 個人情報流出の可能性
食肉通販サイトに不正アクセス - 顧客情報が流出した可能性
インスタアカウントが乗っ取り被害 - 泉大津市のホテル
市施設サイトに不正アクセス、メール配信CGIの脆弱性が標的に - 小諸市