証券口座の不正アクセス
ふて寝するほど話したい。この番組は、システム開発25年の株式会社プラムザが、赤坂より開発現場の今と本音をざっくば乱に話していこうという番組になります。
進行は私、鴨志田と、代表の島田と、賑やかし役の辰巳です。よろしくお願いします。
今回のタイトルは、証券口座の不正アクセス被害をどう防ぐのかというタイトルになります。
というのも、直近、証券口座の乗っ取りの被害がだいぶ増えていると、大手も結構被害になっているというところで話題になっているので、プラムザでも取り上げて話してみようというところになります。
簡単に概要をお伝えさせていただきます。大きいところですと、みずほフィナンシャルグループのみずほ証券が、13日、顧客のログインIDが盗み取られ、インターネット経由での不正取引が行われたという事例を確認したと発表したというところになります。
その他には、ネット証券の大手10社全てそういった被害があるというところで、投資家のテッサさんの楽天口座が乗っ取られたとか、そういったところも含めて諸々話題になっていると思いますので、果たしてこういうことはどうやって防ぐのかというところを諸々島田さんと辰巳さんにお伺いさせていただければと思いますが、よろしいでしょうか。
はい。
はい。
これ、記事読んだんだけど、すごい防ぐの難しい感じもするんだけどね。
これは実際どうなっているのか、チラッと記事で見た感じだと二段階認証も抜けちゃうみたいなことを見たんですけど、そんなことあるんですかね。
それじゃあ自分から言いますか。
はい。
二つあるみたいで、一つは二段階認証も抜けちゃうみたいな、そういうことをやられたみたいな記事が載ってたんだよね。
それはいわゆるフィッシング詐欺で、メールとかSMSで連絡が来るんだよね。パスワードを支給変更してくださいとかっていうのが来たりして、
そこにリンクがあるんで、それを踏んでしまうと、そのリンクは全く別のサイトで、ハッカーが巧妙に入れて作った張りボテのサイトだったりするわけだよね。
はい。
そこでずっと、ハッカーっていうのはずっとそこで待ち受けていて、ユーザーが何を入れるかをずっとそこで見てるということなんだよね。
IDとパスワードを入れたら、IDとパスワードを入れるし、本当のサイトの方にIDとパスワードを入れて、ユーザーの方が二段階認証のボタンとかを押したら、こっちも二段階認証のボタンを押して、
本件の方のサイトから二段階認証が飛ぶじゃない。
はい。
で、そこで二段階認証のコードが多分発行されるんで、それを偽サイトの方でユーザーを入れてしまうんで、それをサーバーの方で見てると、この番号かってわかるんで、ハッカーの方は本当のサイトの方にそれを入れてログインすると。
なるほど。そうすると、何かしらSMSとかで飛んできたことにクリックすると。
で、そこのサイト自体が多分本物にかなり似せて作られてるから、違和感なく打ち込んでしまうと。
うん、多分そのものに見えると思うんだよね。全部HTMLをコピって作るんだと思うんだよね。
全然同じものに見えちゃうと思うんですよ。
全く同じものに見えるだろうね。
うん、なるほど。そんな形で二段階が突破されるんですね。結構フィジカルと言いますか、待ち構えてるのはあると思うんですけども、そんな感じで行くんですねって感じはしますね。
そうね、だから正確には二段階認証が突破されてるというよりも、さすがにSMSをよく見ることはできないんだけどさ、見てれば、サーバーの方で待ち構えてれば入ってきたものはわかると。
ということだね。
それが、記事によるとおそらく中国人の犯罪グループなのではというところですが、中国の株が一気に買われ、それが売られるということが行われてるということで、3月から一気に増えてるというので直近ニュースになってるのかなと思います。
あともう一つの手段、先ほど島田さんが言ってたんですが、それはどういった手段になるんですか。
それはインフォスティーラー。
情報を盗む?
そう、情報を盗み見るっていう。昔からよくあるやつだと思うんだよね。キーボードで打たれた内容を全部送らせるとか、画面自体をコピーって送らせるとか。
ウイルス的なこと?
ウイルスだね。
なるほど。
そのメールとかSNSで送られてくるリンク自体もウイルスが仕込まれてたりとかもあるんじゃないですかね。
安全対策と推奨手法
なるほど。これは結構言うならよくあるやり方というか、前からあったような手法ではあるんだなっていうところは改めて。
古典的なものだと思います。
それはトロイの木馬的なやつで、1回でも入れてしまうと抜けないみたいなことがあったりするんで。
なるほど。これはでもどうやって防げばいいんですかね。
飛んでったサイトを目視で本物か偽物かどうかって判断するのはどうやら厳しそうだというところは何となくわかったんですけど、
これシステムでどうのかを対策するというレベルでもないですもんね。
これ2つアプローチの仕方があるかなと思っていて、1つは鴨志田さんが想定されているような個々人で対策をしていく必要があると思います。
ただ一般の方だとそこのキッシングサイトを見極める知識とかスキルも多分持ち合わせてないってことが多いと思うんで。
僕が考える一番シンプルなやり方としては、URLとかメールの文面とかをコピってChatGPT(チャットGPT)に投げちゃう。
そうするとこれって安全なURLですか、本物のメールですかっていうのを識別してくれるんですよ。
なるほど。
そういう安全性を評価するサイトとかもあったりするんですよね。URL打ち込んだりする。
ありますよね。そもそもメールから飛んできたURLを貼ると安全性がどうとかスクリーンショットとか出してくれたりとかありますもんね。
そうそう。そういうものを使ってみて自分で確かめる前に確認をすると。
そうすることによってだいたい防げると思うし、怪しいと思ったらやった方がいいと思うんです。
Gmailとか使ってたら、最近のGmailってかなりセキュリティレベル高いんで、怪しいものが基本スパムメールに分類されたり怪しい認定されるんです。
そうなったらまず疑った方がいいと思うんですね。
なるほど。でもAWSから来るメール全部迷惑メールが入っちゃうんだけど。
もうAWS、いろんなメールをガンガン送ってくるから仕方ない部分はある。
もう一つアプローチの仕方としては、個人の対策だけでは対処しきれない部分も出てくると思うんですよね。
そうなった場合は証券口座だけの話に限って言えば、セキュリティ対策をちゃんとしている会社を選びましょうというのが一つ正解だと思う。
これも記事でちょっと見たんですけど、証券口座の二段階認証が今まで任意だったんですかね。それが必須になるみたいな記事がありましたね。
そういうところですし、やっぱり証券会社単位でどういうシステムを構築しているのか、さすがに個人レベルでは分からないんですけど。
比較しているサイトとかもあると思いますし。ところで具体的にどこっていうのをここで伝えるのかなり断定的な問題になってしまう。明言は避けますけど。
先ほどのやり方、偽のサイトの方で貼っておくっていうやつが、二段階認証だとかなりじっと貼ってないといけないんだよね。
これがもしも犯人だったらそうなんだけど、ただの二段階認証じゃなくてIDとパスワードだけで入れるのであれば、
別に貼っておく必要はなくて、溜まったデータを見とけばいいんだよね。後からね。IDとパスワードを平文で格納してしまえば、いつでも入れると。
ということができるので、二段階認証をやっていない証券会社のサイトとかはやっぱりそれはかなり、ハッカー側としては楽だね。
フィッシングできてるならできなくはないが、やっぱり手間はかかるので、ちょっと嫌がるだろうというところなんですね。
そうだね。だから偽サイトの方でIDとパスワードを入れさせて、平文で格納して、平文っていうのは暗号化しないでね。
不正アクセスの対策
普通のシステムはパスワードを暗号化して格納するんだけど、それをそのまま格納して、その後ユーザーにバレると思うんだよね。
あれ?みたいな。入れないでしょ?みたいな。俺の口座にマイページとか行けないしとかいう風になってしまうんで、取ったらすぐリダイレクトすると本当の本件のサイトに。
そうすれば、そこでは入れないけど、あれ?みたいな。入れなかったらもう一回やってみようみたいな感じでちゃんと入れると。
いう風にしておくと盗まれたことが気づかないっていう風にできるかな。
それを防ぐ意味でも、メールとかに貼られてるリンクを直で踏むんじゃなくて、普段から使ってるURLをブックマークしておくっていうのもありかもしれないですね。
そうすると自分で考えずとこっちで見る癖をつけてしまえば防ぎやすい。
確かに良い対策かもしれないですね。通知とか本当の必要なものがあれば、メールだけ確認してもともとログインしているとかブックマークしてあるところから入ると。
本当に重要なことだったらデカデカでログインとかした時に通知とかくるだろうし、スマホのアプリであれば通知もくるでしょうから。
ちなみにフィッシングってもしかして鴨志田さんが釣りのフィッシングだと思われてませんか?
完全に釣りだと思ってますよ。
違うんですか?
人をエサを垂らして釣り上げるフィッシングの意味とソフィスティケイ、洗練されたのを組み合わせて、
手口が洗練されている魚釣りのようなものっていう意味でフィッシングがP-H-I-S-H-I-N-Gだそうです。
へー、なるほど。それは若干ダブルミーニング的になってるってことですか?
ダブルミーニング。
あー、なるほど。ちょっとオシャレなのがムカつきますね。
そうなんですよねー。
なるほど。まあでもこれは、例えば今いただいた具体的な対策としては、もともと保存してあるURLを使うとか、
そもそもそのフィッシングというか、SMSとかで来たものが怪しいとちょっとでもったらそれを調べるというような癖をつけとくと良いというところです。
あと他対策、個人でできそうなものってありそうですか?島田さんどうでしょうか?
ドメイン確認の重要性
うーん、なかなかね、さっき言ったみたいなブックマークから行くとか、
まあブックマークから行けばいいんだけど、今すぐメールが来て、なんとなく文明に貼ってあるところから行きたくなるよね、普通に。
いやー、行っちゃいそうですよね。改めて気をつけないとなーって今話を聞いていて思ったんですが。
本当は本来なら証明書を表示して確認するのが、本来はそうやってやるべきなのかもしれないけど、そんなやってる人は誰もいないし、
証明書のテキストを見ても嘘か本当か分からないので、それよりはまずはドメインが、
COJPドメインなのかっていうのはちょっと見るべきかなっていう気はしますね。
ドメインをどう見るというのは具体的にはどうすれば良いんですか?
ブラウザの上のところのアドレス板のところに載っているように、スマホだと見にくいのかな?
あー、HTTP?
そうそう、HTTPは最近出ないんだけど、最後の方にSBIだったらsbisec.co.jpみたいなのになってるよね。
サブドメインってその上のところはね、色々変わるんだけど、そこの会社名のCOJPのドメインの部分は変えられないんで、そこは真似できないんだよね。
じゃああれですね、フィッシング詐欺のSMSから飛んでったサイトは本物っぽく見えてもそのドメイン自体違うってことなんですね。
うん、ドメインは違う。
なるほど、なるほど。確かに分かっている人だったらそこを見ればすぐ気づくっていうところですね。
そうですね。特殊なことをやられるとドメインも変えられてしまうっていうことがあるんだけど、
それは相当難しいんで今ここで言う必要ないかもしれないけど、基本的にはドメインを見ればまず間違いないですね。
小文字のLと大文字のIでちょこっと変えたりとかすることもありますし、
あり得るね。
数字の1にしてみたりとか、小文字の9と数字の9みたいな感じで、本当にもう手を変え足を変え、手を変え品を変え。
そういうことをやってくれるので気をつけてください。
うん。
COJPじゃなくてドットCOで終わってね。
ああ、なるほど。
そういうのもあるんでね、気をつけないといけないですね。
ね。
なるほど。何かしらいろいろ見破り方とか対策とか、竜州島田さんにお伝えいただいたので、ぜひこれをちょっとでも活用していただければと思います。
本日はこんな形でよろしいでしょうか。
はい、大丈夫です。
はい、本日はいかがでしたでしょうか。楽しんでいただけましたらフォローや評価をお願いします。
また、Xでも最新情報を随時発信していますのでよろしくお願いします。
システム開発に関するご相談がございましたら、公式ホームページからお気軽にお問い合わせください。
それではまた次回お会いしましょう。
ありがとうございました。
ありがとうございました。
