楽天証券への不正ログインによって勝手に株の取引きをされて被害が発生するという事案が多発しているニュースが話題となってます。さらに、3月31日には、SBI証券でも同種の事案が確認された旨ブルームバーグが報じています。
また、楽天証券やSBI証券をはじめとする各証券会社が、ユーザーへのセキュリティ強化や注意喚起を行っています。
このことは多くの方が情報発信されており、証券会社におけるセキュリティ強化のための設定方法などを詳しく解説したものもあります。
私も楽天証券、SBI証券を含めて複数の証券会社を利用していますし、こちらの記事の追記で記載したように、故意か誤ってか分かりませんが、私以外の誰かが日興証券の私の口座にログインしようとしたこともあったので、今回、私がどのような対策を行ったか、どの程度効果が期待できるのかなどを整理しましたので、少しでも参考になればと思います。
楽天証券 不正アクセス事件の概要
たくさんの情報が出ていますので、極簡単にかいつまんで。
楽天証券の口座に不正にログインされ、保有している株が売却され、その資金を使って流動性の低い中国株を大量に購入する注文をされた結果、含み損を大きく抱えた中国株だけが残った、と言うものです。
つまり、犯人は、直接何かの資金を盗むのではなく、安い中国株の値段を釣り上げて売り抜けて、実質的に被害者に損をさせて利益を得ていったという形です。
そもそも、なぜ不正にログインされたのかについて、楽天証券はいわゆるフィッシング詐欺によってIDとパスワードが漏洩したのが主たる要因ではないか、として注意喚起しています。
ですが、被害者の中にはフィッシング詐欺に当たるようなことは絶対にないとされる方も多いようで、ウィルスによってID、パスワードが盗まれたのではないかという推測もあります。
不正アクセスの事件は楽天証券だけではなく、SBI証券でも確認されているようで、この問題は楽天証券固有の話ではなく、他の証券会社なら大丈夫というようなものではないと思います。
これに関連して、SBI証券は規約改定を行い、簡単に言うと、SBI証券からの漏洩でなく、どこかで盗まれたID、パスワードを使って不正にアクセスされた場合には、SBI証券はその損害を補償しませんよ、というもので、これも話題になっていますが、楽天証券も同様の対応をとるというような記事もでていました。
証券会社によるセキュリティ対策
この件を受けて、証券会社もシステム改修をするなどして、ログイン時のセキュリティ強化、例えば楽天証券では二要素認証、SBI証券ではデバイス認証(認証されていないデバイスからログインする際には二段階目の認証が求めらる)やFIDO認証(アプリのログイン時に生体認証を求められる)など、セキュリティを高める設定を行うよう、利用者に注意喚起しています。
しかしながら、これも多くの方が指摘されているように、完璧とは言い難く、特にスマホのアプリからログインして、そこからウェブサイトに飛ぶという方法でセキュリティを回避できたりします。
今後アップデートされるものと思いますが、現在ではそのような状態です。
とは言え、証券会社の設定で強化できるものはできるだけやっておいた方が良いと思います。
逆に言うと、セキュリティの設定を済ませたからそれだけで安心と思わないことです。
私の行った対策
パスワードの変更など基本的な対策
現状では、これが最も重要な対策だと思います。
ダークウェブでは、多くのID、パスワードが売買されているという話です。自分が利用しているパスワードがどこからも絶対に漏れていないという確証はありません。このような事件があったのですから、大事なサイト(今回の場合は証券会社)のパスワードは念のため、変更しておいた方が良いでしょう。
これも良く言われるように、複雑で推測されにくいパスワードを利用し、パスワードの使いまわし(同じパスワードを複数のサイトで利用)は絶対にやめましょう。
私は、パスワード管理アプリ「Bitwarden」を利用して、もともと推測されにくい複雑なパスワードを設定していますが、念のためパスワードを変更しました。
ちなみに、ブラウザに保存しているパスワードを抜き取るウィルスがあるということなので、ChromeやEdgeなどブラウザベースでパスワードを管理するのは避けた方が良いかも知れません。
パスワードの管理はアプリなどではなく紙などアナログな方法で管理するのが一番安全なのかもしれませんが、私の場合大量のパスワードをそのように管理するのはあまりに不便で非現実的ですので、現状ではパスワード管理アプリに頼らざるを得ません。
あとは、(公式からの発信と思われるものでも)受け取ったメールのリンクを踏まない、怪しげなサイトに行かない、よく分からないファイルをダウンロードしないなど、普段から基本的な対策を心がけるのは当然に必要です。
特別なことではなく、当たり前の対策ですが、まずはこれは基本だと思います。
なお、パスワード管理アプリのBitwardenについては、過去記事で使用感などを紹介していますので、興味のある方はご覧ください。
証券会社のセキュリティ設定
証券会社のセキュリティに関する設定で、可能なものはできるだけ設定しました。
ざっとあげると
ログインのセキュリティ強化
楽天証券なら二要素認証、SBI証券ならデバイス認証、アプリのログイン時のFIDO認証など。
出金時の二要素認証
出金指示を行う際にパスワードに加えてメール等での認証が必要というものです。
今回の楽天証券の事案では、資金をそのまま出金されたわけではないので効果はありませんが、やらないよりはやっておいた方が良いと思います。
メール通知
ログインがあった場合や注文を受け付けた場合など、登録しているアドレスにメールで通知してくれるものです。不正にログインされた場合には、メール通知があってももう手遅れということもありますが、これもやらないよりはやっておいた方が良いと思います。
証券会社によっては、例えば三菱UFJ eスマート証券はデフォルトで色々な通知がオンになっていますが、そうで無い場合もありますので、ご自身の設定を一度確認してみてください。
被害者の中には、投資信託を保有しているだけで証券会社のサイトにはあまりアクセスしない、通知も気づかなかった、という方もいらっしゃるようですが、やはり証券会社からの通知は気にした方がよいですし、サイトの方も見に行った方が良いと思います。
銀行との連携解除
楽天証券なら楽天銀行との「マネーブリッジ」、SBI証券なら住信SBIネット銀行との「SBIハイブリッド預金」やSBI新生銀行との「新生コネクト」、三菱UFJ eスマート証券ならauじぶん銀行との「auマネーコネクト」など、銀行と証券会社との間で簡単に資金移動ができるサービスがあります。
非常に便利なのですが、万が一証券会社に不正にログインされてしまうと、銀行に置いてある資金まで簡単に利用されてしまいます。
また、こうした名称のついていないサービスであっても、口座振替契約を行った場合、証券会社側の操作だけで銀行から資金を移動させることが可能です。
私は、これらのサービスも基本的には解除をしました。
ただ、「新生コネクト」は解除した場合のデメリットが大きいので、どうするか悩み中です。とりあえず、普通預金にはごくわずかの金額を残して、多くを短期の定期預金に入れて、簡単に資金移動できないようにしておきました。
「auマネーコネクト」は解除するとauじぶん銀行の普通預金金利が0.1%下がってしまいますが、こちらの方はやむを得ないと割り切ることにしました。
こうした対策については、証券会社に不正にログインされて、保有している株などの商品を売却されてしまえば被害が出るので、銀行との連携まで解除するのか、という考えもあるでしょう。
この辺は、連携対象の銀行をどの程度利用しているのかにもよるでしょうし、メリットとリスクをどう考えるかですが、私は念のため、そうしておきました。
ちなみに「auマネーコネクト」はオンラインでは解除できず、三菱UFJ eスマート証券のお客様サポートセンターに電話で依頼する必要がありました。この電話がなかなか繋がりにくく、また、オペレーターから解除の理由などを聞かれたりするので、ちょっと面倒ではあります。
最後に
色々書きましたが、やはり、ユーザーサイドでできることは、各サイトにおけるセキュリティ設定も必要ですが、何よりもパスワードの管理が基本ということになると思います。
その意味では、各証券会社がログインに際してパスキーを導入してくれると良いのに、と思います。
もっとも、パスキーに対応してもパスワードレスにできなければ、不正ログインの危険はあるのですが。
また、多くの証券会社において、取引する際に取引用のパスワードなど登録してあるものを利用する方法をとっています。
これに対して多くの銀行では、取引の際、ワンタイムパスワードやアプリでの認証などその都度やりとりする漏洩の危険が少ないものを使用しています。
証券会社もこのような形にすればセキュリティが上がるのにとも思います。
そして、全ての証券会社がどうなっているのかはわかりませんが、全体として、アプリからウェブサイトへの遷移についてセキュリティが甘いように思います(例えば、アプリにログインできれば二段階認証などを経ずにウェブサイトに簡単に入れるケースがある)ので、まずはこの点を改善してほしいものです。
繰り返しますが、証券会社のセキュリティ設定をしたから安全と思わず、また証券会社が対応してくれるだろうと安心せず(できる限りのことはお願いしたいですが)、自分のID、パスワード、そして資産は自分で守るということを心がけることが必要かなと思います。
コメント