その他

【SBI証券】不正アクセスで顧客口座から約1億円も流出される。被害に遭わないためにはどうすればよいか?

SBI証券の1億円不正流出

9月16日、SBI証券では外部による不正アクセスの影響で、顧客の口座から計1億円近くの資金が不正に引き出されたという、何とも言い難い恐ろしいニュースが発表されました。

この報道を受けて、「SBI証券の自分の口座は大丈夫だろうか」、「こんなセキュリティ低い証券会社をこのまま使っても大丈夫だろうか」と、心配になった方は多いのではないでしょうか。

今回の問題の根源には、SBI証券の根本的なログインの仕方に問題があり、プログラミングの知識を持っている方なら、簡単に不正アクセスができてしまうようなプログラムを作ることが可能なのです。

SBI証券としては、不正に資金流出した口座の持ち主に対し、全額補填をすると言っていますが、仮に売却されるまでに、持ち主が保有していた株が莫大な含み益を抱えていた場合、含み益分まで補填するかどうかは気になるところですね。

そして今のところ、不正アクセスした犯人はどういう人物像なのかも特定しておらず、未だに捕まってもいない状態。つまり、危険は収まった訳ではなく、他の口座を狙って再発する恐れがあるということです。

ちなみに、手元に現金1億円もあれば・・

高配当ETFで人気のSPYDにそのまま1億円を全力で投資すると、特に何もしなくても、年間500万円という大きな不労所得を得ることが出来るし、本業を引退して夢のような配当金生活が出来てしまいます。

SPYDのページはこちら

https://usa-kabu.com/stock/etf_detail/?ticker=SPYD

※本記事のトップ画像はメーテレより引用しています。

SBI証券の不正アクセスは誰でも可能である

【米国株決算】7月20日週までに4-6月期決算を発表する注目米国銘柄

今回の1億円の不正流出の件で、筆者が思ったこととして、SBI証券はログインのセキュリティが非常に弱いことが判明しました。

理由として、SBI証券の口座ログインには何回も失敗を連続で繰り返しても、アカウントがロックされないという点にあります。

つまり、ログインが完全にできるようになるまでログイン→失敗→ログインをひたすら繰り返すようなツールを作ることで、そのうちパスワードが見破られてしまうことです。興味本位で不正ツールを作って試すのは犯罪。

現在のSBI証券のログインパスワードは「6文字以上、10文字以下」という、少ない文字数でパスワード設定するようになっています。

これは銀行の口座をインターネットで確認するに用いるパスワードよりも文字数が少ない傾向にあり、三菱東京UFJ銀行あたりを例に挙げると、英数字+記号の組み合わせで12文字以上登録するようになっており、しかもログインに数回失敗するとアカウントがロックされるようになっています。

SNSの反応

SBI証券の方の問題が金融関係者以外に理解されていない気がする。証券会社だからとか金額が酷いのではなくて出金先偽口座を開けた銀行が犯罪収益移転防止法の観点からクソヤバイ。

そうですよね。 SBI証券は口座開設している人も多いので、対策重要ですね。 ただ、SBIは全額補償すると、すぐに発表したのは良かったですね。

SBI証券のパスワードをそろそろ変更しないとなと思って変更手続きしたら、「半角英数字6文字以上10文字以内」という条件を見て絶望してしまったのだが #今どきパスワードの上限が10文字とか

SBI証券のセキュリティは一刻も早く強化するべし

SBI証券の不正アクセス

SBI証券はひとまず、これ以上被害を出さないためにも、一刻も早く講じて欲しい対策はこちらです。

  • ログインに数回失敗した場合はロックをかける。
  • 二段階認証。

銀行の口座みたく、WEBで口座残高を見たいとき、ログインに数回ほど失敗してしまうと一定の時間ログインできなくなるという「アカウントロック」を導入している金融機関は多いです。

今回の1億円不正流出問題において、第3者が不正アクセスされる前に、SBI証券側がアカウントロックの機能を先に導入していればおそらく今頃、顧客資金の流出被害は起きなかったことでしょう。

今でもログインに数回、または数十回も連続で失敗しても何も起こらず、パスワードを何度も間違えてもいずれ見破れる可能性があるため、早急な対策が必須だと考えています。

SBI証券がセキュリティ対策を講じるまで実践しておくこと。

被害に遭わないために実践することとして

SBI証券がいつになったら具体的な対策をするかどうか、次期が未定ですので、とりあえず今回のような被害に遭わないため、今すぐできる点としてはこのような対策が挙げられます。

  • Z64から始まるIDが含まれたスクリーンショット画像はSNSといったネット上のサイトには絶対に投稿しない(これは1000%危険です)。また、間違えて過去に投稿してしまった場合はIDを含んだ画像を削除しておく。
  • 10文字ぎりぎりの複雑なパスワードに設定しておき、定期的に変更すること。

時期は未定だがSBI証券は生体認証を導入するようです

仮に今回の資金流出問題が起きなかった場合、下手したら対策も糞もしていなかったことでしょうが、SBI証券は不正アクセスを防止するために「生体認証」を導入すると発表しています。

生体認証とは「指紋認証」のような、本人以外は100%認証させないという高度なセキュリティ技術です。

筆者はSBI証券では少ない資金とはいえ、大事なお金を運用していますので、今回の問題を機に顧客に信頼できるセキュリティを一刻も早く導入して欲しいと願っています。

応援よろしくお願いします
最後までお読みいただき、誠にありがとうございます。こちらのボタンを押して、応援していただけると大変嬉しいです! にほんブログ村 株ブログへ
にほんブログ村 株式ブログランキング
参考になる書籍を紹介
個人投資家
ねるねる
30代リーマン、システムエンジニアをやりながら米国株と日本株を日々研究する個人投資家です。米国株ブログは2019年8月頃スタート。