SBI証券、顧客資産9,864万円が流出。不正な銀行口座に出金

SBI証券は15日、不正アクセスにより、顧客資産が流出したと発表した。被害口座数は6口座で、被害額は合計9,864万円。

捜査当局と資産流出先の銀行であるゆうちょ銀行、三菱UFJ銀行と連携して対応を進めている。被害はゆうちょ銀行で5件、9,229万円、三菱UFJ銀行で635万円。顧客の資産保護を最優先とし、SBI証券が補償する予定。

9月7日に寄せられた「身に覚えのない取引があった」との申し出を端緒とし、顧客のログ調査などにより、不審なアクセス元を特定。そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析した結果、悪意のある第三者による不正アクセスが行なわれ、顧客の有価証券の売却と出金先銀行口座への出金が複数件確認されたという。

SBI証券からの出金は、本人名義の出金先銀行口座のみに限定されているが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設。何らかの方法で取得した顧客の「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、SBI証券のWebサイトから出金先銀行口座を不正な銀行口座に変更し、出金されたという。

判明後、被害を受けた顧客に個別に連絡し対応するとともに、今回判明した攻撃手法から不正アクセスの危険性があると考えられる顧客を幅広く特定し、「出金停止」、「パスワード強制リセット」などの措置を講じた。また、全利用者に対し、Webサイトでの出金先銀行口座の変更の受付を停止し、住所等の詳細な本人確認ができる郵送による変更手続きのみ受付けることとした。

今後不正アクセスに対するモニタリング体制などの監視強化に加え、ワンタイムパスワードを利用したログイン認証の導入(二要素認証)や、普段と異なる環境からのログインを検知して利用者に通知、アクセス遮断を行なう仕組みの導入(リスクベース認証)などを予定。また、出金先銀行口座登録における本人確認の強化も行なう。