2025年4月19日土曜日

【エッセイ】生かされなかった過去の不正アクセス再発防止策

金融庁が、証券会社のフィッシング詐欺などによる不正取引の被害について発表した。
2月から4月16日までの約3カ月間で、計1,454件に上ったらしい。
不正取引は多くの場合、口座内の株式を売却し、中国株などを買い付けている。
不正な株式の売却総額は同期間で約506億円、買い付け総額は約448億円とのことw

全容については解明中で、原因についても確認中らしい。
日本証券業協会は不正防止に関するガイドラインを改定する方針を正式に表明した。
証券会社に対しては、被害に遭った顧客に真摯に対応するよう呼びかけているらしい。
また、多要素認証による本人確認の認証方法を基本的に義務化する方向らしいw

2020年、今回、被害のあった証券会社で、不正アクセスにより顧客の資産が流出した。
証券会社は、徹底的な調査・分析、再発防止策の策定及び関係者の社内処分を実施した。
調査は、利害関係を有しない外部の専門家から構成される第三者委員会、サイバーセキュリティ対応に実績のある外部企業により行われた。
本事案の概要は、以下になるw

"2020年7月から9月にかけて、当社の6名のお客さまの口座において、お客さまの身に覚えのない出金先の銀行口座変更、有価証券売却及び当該銀行口座への出金が行われました。また、その他の5名のお客さまの口座において、不正出金には至らなかったものの、有価証券の売却が不正に行われました。本件において攻撃者は、当社のメインシステムサイトに対して、何らかのリストを元にログイン試行を繰り返すリスト型アカウントクラッキングの手法により不正ログインを実行したと考えられます。実際に、不正ログインを行った攻撃者が、本事案における被害を受けたお客さまのアカウントに対してアクセスしているIPアドレスから、1,000 以上のアカウントへのログインを試みたことを確認しております。" 
(「悪意のある第三者による不正アクセスに関する調査報告及び再発防止策について 」)

証券会社は原因を分析した上で、以下の再発防止策を実施するとしている。
技術面における再発防止策として、多要素認証の導入、FIDO 認証、デバイス認証 、通知機能の強化、メール配信の対象となるお手続きの拡充 、ログイン履歴の拡充 、当社サイトにおけるお客さま情報のマスキング、パスワードの桁数拡張及び複雑化 、ログイン監視機能の強化等。
ガバナンス面における再発防止策として、オペレーショナルリスク管理態勢高度化への取り組み、内部監査の高度化への取り組み、レガシーシステムからの脱却w

2020年に被害があり、再発防止策を策定したが、今回、再発したことになる。
今回、ある被害者が証券会社に被害があったことを伝えた。
すると、正規のIDとパスワードのログインであれば、補償できないといわれたらしい。
もし、事実なら、調査も終わっていない段階で、あまりにも不親切な対応だと思うw

個人的には、前回の調査が不十分だったことが、再発した原因だと思う。
前回、何らかのリストを元に不正アクセスが行われている。
だが、このリストを誰がどこから入手したのかを調査できていなかったように思う。
警察に被害届を出して、捜査してもらっていれば、再発防止できたかもしれないw

もちろん、最もよくないのは、不正アクセスした攻撃者になる。
だが、利用者も被害者にならないよう、セキュリティを強化しておく必要がある。
最も安全なのは、ネットを利用しないことだが、そうもいかない。
それぞれが自分に適した最良のセキュリティ対策を考え、実施する必要があると思うw

0 件のコメント:

コメントを投稿