大手ネット証券会社の株式会社SBI証券は2020年9月16日、同社が提供するオンライン証券口座への不正アクセスが発生し、口座開設者6名の資金約9,800万円が流出したと明らかにしました。
同社によると2020年9月7日ごろより身に覚えのない不正出金を訴える顧客が確認されており、これを調査した結果、不正アクセスによるものと判明。
犯人は乗っ取った口座を悪用し、持ち株を本人の同意なく売却した後に、ゆうちょ銀行や三菱UFJ銀行に現金を流出させていたとしています。
不正入手のパスワードリストと偽造身分証を併用か
株式会社SBI証券は攻撃者の手口として、外部から流出したパスワードリストと偽造した身分証を併用し、不正ログインを行ったとの見方を示しています。
SBI口座にログインするためにはIDとパスワードが必要ですが、攻撃者は別のサービスから流出したIDとパスワードのリストを入手し、不正ログインを仕掛けた可能性があるとのこと。多くのネットユーザーは複数のサービスにまたがって同一のパスワードを使用する傾向にあることから、こうした手口はリスト型攻撃として恐れられています。
また、攻撃者は偽造身分証で開設された銀行口座を所持しており、これを本人口座として設定した可能性があるとのこと。証券口座からの出金先は原則として本人名義の口座である必要がありますが、攻撃者は偽造身分証を悪用することで、本人になりすまして不正出金した可能性があるとしています。