知って得するセキュリティのはなし その106
ネット証券に委託SEが不正アクセス…顧客15口座から約2億円着服
1.このニュースをざっくり言うと
- 3月24日(日本時間)、SCSK社より、松井証券のシステム開発・運用を委託されていた同社元社員が同証券の顧客口座から不正出金を行っていた容疑で逮捕されたと発表されました(同日、松井証券からも同様の発表がありました)。
- 両社の発表によれば、元社員は、2017年6月~2019年11月に業務上付与された権限を悪用して同証券ユーザーのID・パスワードおよび取引暗証番号を取得、有価証券の売却代金や預けられていた現金を不正に取得する等の行為を行ったとしています(ターゲットとなった顧客の本人確認書類を偽造し、同姓同名の銀行口座を外部に作成する等の手口もとっていたとのことです)。
- 2020年1月に顧客から同証券に対し身に覚えのない取引があったとの通報を受けて発覚しており、被害は顧客15名の口座から約2億円に上るとされています。
2.執筆者からの所感等
- 内部関係者の犯行による事案としては(今回と多少異なり個人情報等が流出したものですが)、2014年のベネッセの事例、また2018年には日経新聞社社員がPCを分解しHDDを抜き取って持ち出した事例がありますが、うち後者の例のような、物理的な保存媒体の奪取がそのまま情報の流出に繋がる恐れに対しては、ディスクの暗号化を行うことが有効な対策の一つとなります。
- (これも今回のケースと必ずしも合致しない一般的な推奨事項ではありますが)サービスにおけるなりすましを防ぐため、顧客本人であることを証明する認証時の情報等を保存するにあたっては、本人以外はたとえシステム管理者であっても元の情報を読み取ることができないよう、基本的にはハッシュ化等の実施が前提とされるべきです。
- 本人確認書類を偽造して銀行口座を用意する手口は、同業のSBI証券が2020年9月に外部から不正アクセスを受け資金流出の被害を受けた際にもとられており、今回の件に限らず、あるサービスで発生した不正行為について他社が荷担させられることなく阻止するという観点からも、サービス登録時に(ないし登録済みの顧客についても)「eKYC」の導入等による本人確認のさらなる徹底が行われることが今後予想されます。
