本人確認の手続き突破 SBI証券の顧客資金流出

本人確認の手続き突破 SBI証券の顧客資金流出
身分証偽造し口座開設 金融庁、ネット証券などに点検要請
https://www.nikkei.com/article/DGKKZO63982230X10C20A9EE9000/

『複数の電子決済サービスで銀行の預金が流出している問題で、不正の実態が明らかになってきた。SBI証券では不正なアクセスで9864万円が流出した。犯罪者が他のネットサービスで使ったパスワードを盗み取り、同姓同名の偽口座を作ってお金を引き出していた。犯罪の手口は高度になっている。本人確認が破られる深刻な事態で安全対策は待ったなしだ。

金融庁は17日、日本証券業協会と金融先物取引業協会を通じ、オンライン取引サービスを手掛ける金融機関に対してシステムの管理体制を自主点検するよう要請した。点検の結果やセキュリティー上の問題点を1カ月以内に報告させる。既にSBI証券には報告徴求命令を出した。

SBIでは第三者が不正に入手した顧客のログインIDとパスワードで取引ができるようになっていた。その上でゆうちょ銀と三菱UFJ銀で、証券口座の名義人と同姓同名の偽口座が作られ、資金が流出した。免許証やパスポートなどが偽造され、本人確認が突破された可能性がある。

SBIでは出金操作をするまでに複数のパスワードを入力する必要があるが、同じパスワードを流用していた顧客が狙われた。ログイン情報は他のネットサービスで流出したものとみている。

NTTドコモの「ドコモ口座」では、口座番号や4ケタの暗証番号など限られた情報で本人確認をしていた地方銀行で被害が出た。情報が盗まれた場合は簡単に現金が引き出せる状態だった。

SBIと銀行は双方で一定の安全対策を講じていた。それでも銀行口座の開設時と証券取引の際の確認が犯罪者に突破された点で深刻だ。

SBIは特定の端末からのアクセスだけを許可する端末認証や、普段と異なる環境からのログインを検知して遮断する仕組みを導入する方針だ。出金先の銀行口座を登録する際の本人確認も強化する。

大手行の幹部は「完璧な本人確認なんてこの先絶対に出てこない」と漏らす。セキュリティーが高いとされる顔認証による本人確認であっても、元となる身分証明書が偽造された場合は破られる可能性が高まるからだ。

ドコモ口座では、口座接続時にスマートフォンのショートメッセージサービス(SMS)によるワンタイムパスワードなどで複数段階の認証をとっていた三井住友銀行などでは被害が確認されていない。

ワンタイムパスワードのログイン時などへの導入はネット証券でも課題となる。手間が増えるため、「顧客の利便性に大きく関わるので悩ましい」といった声がある。不正被害が広がれば電子決済の普及に水を差しかねない。利用者が安心して電子決済を利用できる対策が一段と必要になっている。』