SBI証券で偽口座宛に約1億円の不正出金 - PWリスト攻撃増加、警戒中に発覚

出金先として指定する金融機関の口座は、同社口座と同じ名義である必要があるが、第三者が偽造した本人確認書類を用いて金融機関に本人名義のなりすまし口座を開設していた。

ゆうちょ銀行の5口座、三菱UFJ銀行の1口座に対し、それぞれ9229万円、635万円が送金されており、同社では送金先となったこれら金融機関と連携して対応を進めているが、「すでに引き出されており出金先口座にほとんど残高はない状態だと聞いている（SBI証券広報）」という。

今回、同社オンラインサービスへログインするための「ユーザーネーム」「ログインパスワード」や、取り引きや金融機関の変更に必要となる「取引パスワード」が悪用されたが、SBI証券では同社経由の情報流出を否定している。

アカウント情報が取得された原因はわかっていないが、同社ではフィッシング攻撃やパスワードリスト攻撃などの可能性があると見ている。

特にパスワードリスト攻撃に関しては、「7月から9月にかけて不正なログインの試行が増加していたため警戒しており、不審なログインについて顧客に確認を取ったところ、顧客が行った取り引きではないことが判明した（同広報）」という。

一方で有価証券の売却や出金には、「ログインネーム」や「パスワード」以外に、「取引パスワード」も必要だ。「取引パスワード」は、ログイン用の「パスワード」と異なる文字列しか設定できず、「ID」と「パスワード」だけのシンプルなパスワードリストを悪用しただけでは、ログインまでこぎつけても口座の変更や出金は行えない。「取引パスワード」をいかに特定したか、原因究明の鍵となりそうだ。

（Security NEXT - 2020/09/16 ） ツイート

PR

関連記事

サーバにSQLi攻撃、会員メアドが流出か - イシバシ楽器
不正アクセスでクレカ情報流出の可能性 - 警察実務書扱う出版社
システム開発会社がランサム被害 - 自治体スマホアプリに影響
衣料通販サイトに不正アクセス、クレカ情報流出の可能性 - ネクスG子会社
出版目録のサイトに不正アクセス、メアドが流出 - 全社協
東北工業大の関連サイトで改ざん被害 - ファイル内に難読化スクリプト
不正アクセスでサイト改ざん、情報流出は否定 - 都立大
メールアカウントに不正アクセス、フィッシングの踏み台に - ビーブレイク
ウェブサイトの問合フォームが改ざん被害 - はくさん信金
美容グッズ通販サイトで顧客情報流出のおそれ - 店舗利用者にも影響