PR

 インターネット証券のSBI証券は2020年9月16日、不正アクセスによって顧客の資産が流出したと発表した。第三者が顧客の証券口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行の不正口座に入金した。被害を受けたのは6つの証券口座(出金先はゆうちょ銀行が5口座、三菱UFJ銀行が1口座)で、被害総額は9864万円(ゆうちょ銀行が9229万円、三菱UFJ銀行が635万円)。SBI証券が全額を補償する方針という。

 9月7日に顧客から「身に覚えのない取引があった」との問い合わせを受け、判明した。調査の結果、悪意のある第三者がSBI証券の口座に不正にアクセスし、顧客の有価証券を売却して換金、顧客名義の不正口座に出金していたことが複数件、確認された。

 悪意のある第三者は偽造した本人確認書類を利用するなどして、ゆうちょ銀行や三菱UFJ銀行の口座を不正に開設。さらに、何らかの方法で取得したSBI証券の顧客口座の「ユーザーネーム」「ログインパスワード」「取引パスワード」などの情報を用いて証券口座にログインし、出金先の銀行口座を変更して不正口座に出金していたという。証券口座と銀行口座の名義が同姓同名であれば送金ができる仕組みを悪用したとみられる。証券口座の「ユーザーネーム」「ログインパスワード」「取引パスワード」は、SBI証券のシステムから不正に取得されたものではないとする。

 SBI証券は同事象の判明後、被害を受けた顧客に連絡して対応すると同時に、今回判明した攻撃方法から不正アクセスの危険性があると考えられる顧客を特定して「出金停止」「パスワード強制リセット」などの措置を講じた。さらに、すべての顧客に対してWebサイトでの出金先銀行口座の変更受け付けを停止し、住所などの詳細な本人確認ができる郵送による変更手続きのみを受け付けるようにした。