証券口座乗っ取り被害への対策ごと。

界隈を賑わしている証券口座乗っ取り被害。

先日、界隈では有名な個人トレーダーの方の口座が乗っ取りにあったということで、また話題が大きく広まっていたのかな。

セキュリティソフトを2つ入れているという、「ん？」な点も見受けられるため、その方の話題はおいておくけれど。

んー。

トワナナさんはまだ被害にあっていないものの、他人事ではないかーと考えてみた。

・・・。

今回は、証券口座乗っ取り被害に関して見聞きしてわかっていることと、それにどう向かい合ったらよいのか頭の中を整理するひとりごと。

Be careful

この記事で書かれている内容はトワナナさんの感想です。間違いがないよう注意を払っておりますが、それでも事実と異なる内容が含まれているかも知れません。また、特定の商品をお勧めする意図などはありません。（詳しくは、免責事項とPrivacyPolicyを参照下さい。）

「そうなんだー」くらいの肩の力を抜いた状態で、たのしんでいただければ幸いです。

How was the crime committed?

まず、起きていることを整理すると。

被害者の証券口座から現金をどこかに移動させて「お金を盗む」のではなく、被害者の証券口座の資金で特定の株式の株価を動かし、犯人の証券口座で「売買を行い利益を得る」というもの。

被害者の口座と犯人の口座に直接のやり取りが無く、売買自体は金融機関へのハッキングでも無いため検知が出来ない。

よく考えられた手だと思う。

被害者の証券口座から資金を取り出すためには出金先銀行口座を切り替える必要があり、証券会社によってはネット上で手続きが完結しない。多くの証券会社で資金を「盗まれる」ことには厳重な対策がされている。

見方を変えると従来のセキュリティは「出金経路を厳重に守る」ことで、その他のハッキング行為を無意味にしていた。

情報セキュリティ等でよく用いられる考え方で。

全ての経路に厳格なセキュリティを設けるのではなく、必ず通過する1か所に強固なセキュリティを置くことで全体の負荷を軽減させ、セキュリティも担保するという考え方。

証券口座を狙った犯罪の目的はお金を盗むこと。

それならお金を取り出せなくすればいい。

お金取り出せないなら、不正ログインしても意味ないでしょ？的な考え。

この考え自体は間違ってなくて。

ちゃんと一定の効果を発揮していた。

そこから考えればログインに大きなセキュリティ的リソースを割く必要はなく。

ユーザーへ二段階認証を義務付ける必要もなく、そもそも二段階認証を設けてすらいない証券会社も存在していた。

うーん。

けれど今回は、最も厳重に守っていた出金経路を通さずに利益を得る方法が実践された。

あーうん。

そりゃあ証券会社は焦る訳で。

事件が大きくなると、当然責められる。

「なぜ不正ログインを許したんだ！」って、「セキュリティはどうなっていたんだ！」って。

まさか、出金経路を通さずに利益が出せる方法を想定していませんでしたー（てへぺろ）なんて言い訳もできず。

そしらぬ顔で「フィッシング詐欺が横行してます！」「お客様のために二段階認証用意してます！」ってな二段階認証で守ろう資産祭りになりました。と。

たぶんこんなお話。

What are the trends and countermeasures?

起きていることはわかったとして。

じゃあ対策はどうするのさという話。

ううーん。

とりあえず、犯行手順を分解して考えてみる。

多分こんな感じ。

月並みに（１）の「犯人が被害者のログイン情報を入手する」を防げれば何も起こらないのでそこに注力したいのだけれど、今回は（１）がどういった原理で起きているのか解明されておらず。

（１）を防ぐことは出来ないと考える必要がある。

なんてこったい。

それならその先で対策出来ることが無いかと考えると。

んー。

例えば証券会社からの通知で気付けない？と考えると。ええと、（２）と（３）と（６）の段階で証券会社によっては通知が受け取れるかな？

ただ多くの場合はメールによる通知なので、犯行に掛かる時間が比較的短いと考えると気づけない可能性が高い。

メーラーが常に立ち上がっていて、合わせて、着信したメールに必ず目を通すような環境にあるひとなら。でもそんなひとは少ないのかなって。

ぐぬう。

ピンチだぞ人類。（←スケールがでかい。

そもそも（２）のログインに成功している時点で二段階認証を突破している。これが問題として大きくて。その場合、メールアドレスも抜かれている可能性がありそうかなって。（メールのIDとパスワードがあれば、犯人側のメーラーでメールの受信ができるので。）

・・・。

割とむりげーでは？汗。

携帯電話の通話認証や、SMS認証であれば比較的不正ログインを防げそうな気もするけれど。

パソコンで完結できてしまう、IDとパスワード＋メールによる2段階認証だと突破されてしまうのかな。

うーん、うーん。

であれば。

あまり前向きではないとの前置き前提で。

不正ログインされてもギリギリの最悪は防げる方法。

危なかったが致命傷で助かった的なヤツ。

・・・。

この手口のポイントは、被害者の証券口座の「資金」を使って特定の株式を購入するといった手口。

つまり「資金」が使われる前に口座をロックできればよくて。

ん？どういう話？を以下で説明。

犯人が何故、被害者の保有商品を売る必要があるかというと「資金」が用意できないから。

不正アクセスで被害者の証券口座にログインできたとして、証券口座に現金を保持しているひとは少数派。多くのひとは資産を商品の形（有価証券）として保有している。

特定の株式購入資金を用意するためには保有商品を売却する必要があって。

この保有商品を売却してから特定の株式を購入するまでの期間（フリー資金が用意されるまでの間）に不正アクセスに気付ければ、最悪の事態を回避できないかなって。

えー？でも保有商品を売却してすぐに特定の株式を買われちゃうから問題なんでしょー？と言えば。

確かに被害者が保有している商品が株式であれば、売却後直ちに特定の株式購入に資金を割り当てることが出来る。（厳密には同じ株式には制限があるのだけれど、そのへんは話が長くなるので気になったら調べて下さいな。）

でも。

そうでない商品もある。

そう。

注文を出し、価格が決定されたのち売却され、売却後に資金が利用可能になるまで数日掛かる商品がある。

みんな大好き。

NISAキッズ御用達。

投資信託。

投資信託は当日売却の注文を出しても、当日約定しない。

当日その「資金」を得ることができない。

投資信託は売却注文→価格決定→約定→売却益の入金の手順を踏むため、資金に拘束時間が存在する。

この「資金の拘束時間」を味方に付ければ、不正な証券口座へのログインに気付くことができる。

投資信託の売却には最低1日以上は時間が必要になる為、夜でも朝でも、日に1度だけ証券口座にログインし、意図しない注文が出されていないかを確認すればよい。

スマホのアプリとかなら確認が楽かも。

ほったらかしだから気づけない？しらんがな。

もし不幸にも意図しない売却注文が入っていたら、急いでパスワードを変更し証券会社に連絡を入れて口座のロックを依頼。投資信託の売却は止められなくてもそれ以上の被害は止められる。

懸念点は楽天証券やSBI証券等で導入されている銀行との資金連携サービス。（楽天証券ならマネーブリッジ）

これは取引金額の上限を落とす、あるいは設定を切っておかないと銀行の預金が使われてしまうのでダメかも。

あるいは証券口座と連携する銀行口座には、一定以上の資金を入れないというルールを設けるのもよいかな？

投資信託で被害を完全に防げるわけではないけれど。

投資信託で保有している資産に関しては、取引の工程を理解しておくことで一定のセキュリティに努めることは出来るかなって。

Diversification of risk

ここらでおしまい。

ええー、でも株式とか持っていたらどうしたらいいのさーと言われると。

うーん。

トワナナさんも株式は保有しているけれど、こればっかりはセキュリティ強化に努めるしか対策なさそうかなぁ・・って。

あまり話すような話題ではないけれど、トワナナさんが意識していることを最後に書き出すと。

これをすると安全とかそういった話題ではないけれど。

じぶんが納得するために、これらを意識している感じ。

こわいけど。

今何が起きていて、何ができるのかを考えながら、今と向かい合っていくしかないのかなって。

そんな感想。

最初は「iDeCoなら安心だYO！」とか、しょーもないこと書こうかなとか考えていたけれど、途中で忘れてたってオチ。

・・・。

もし今回の件で眠れないくらい心配という方がいたら。

今回の件はセキュリティに関して考えたり、備える良い機会くらいに捉えて。

できることを対策して、あまり思い詰めないようにネ。