パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される」記事へのコメント

  • by Anonymous Coward on 2020年09月17日 14時01分 (#3890688)

    コインチェック流出の際に、客集めにばっか金かけてセキュリティに金かけてなかった「カス中のカス」と吐き捨てた北尾の会社がSBI証券で、二要素認証すらなかったところです。
    https://ascii.jp/elem/000/001/624/1624722/ [ascii.jp]

    • by Anonymous Coward

      ニセの口座が作れたゆうちょ銀行や三菱UFJ銀行の方が問題じゃないの?

      • by Anonymous Coward

        それも問題なんだけど、不正にログインされて有価証券を売られてたのは別の問題。
        SBI証券はID/パスワードだけでログインさせて取引できていたのでダメでしょう。
        SBI証券のリリース読むとぱっと見は偽造書類で口座つくられた銀行だけが悪いかのように見えちゃうけど、本人以外が
        証券口座を操作して売買したり(偽造)銀行口座に早期できているのも問題ですわ。
        認証弱い。
        SBI証券だけじゃないけどね。

        • by Anonymous Coward

          GMOクリック証券使ってるけど不安

          • by Anonymous Coward

            GMOは攻撃側も踏み台に使ってそう

        • by Anonymous Coward

          SBI証券はログインパスワードと取引パスワードは別ですよ。

          …まあ、別になっているだけ、なのですが。

          • by Anonymous Coward

            sbiはパスワードミスってロックしても数時間で解除する
            メール通知は、銀行から入金しても、株の売買しても、メールしないのがデフォルト
            メール通知停止か登録メアド変更してから、総当たりすれば本人にバレずに突破できるかも
            ドコモ口座の準備でSbi証券に多額の振込してる口座を見つけても不思議はない

        • by Anonymous Coward

          取引パスワードは別に要求されますよ。
          証券やFXの売り買いで二段階認証なぞさせていたら、その時間差で取引に負けてしまいます。

          • by Anonymous Coward

            ログイン時に二要素認証、でよいのでは。

            # 取引パスワードも、時間がもったいないなー、でもしようがないかー、と思ってる。

            • by Anonymous Coward

              どの証券会社にも共通するけど、普通は取引ツールにID/パスワード記憶させちゃうだろうからなぁ。
              出金操作と個人情報の閲覧・変更を二要素認証にしたらいいのかもしれない。

    • by Anonymous Coward

      2要素はないけど、2段階はある。
      未知のブラウザでログインしようとすると、メール通知でログイン許可するか聞いてくる。
      ワンクリックで許可できる。
      もしSBIとメールサービスでパスワード使い回すなどしてたらアウトだが。
      それでも取引パスワードが別にあるし、どうやったのやら。

      偽造した本人確認書とか、結構周到にやってたようだな。
      事前に認証情報を抜いておいて、本人確認書を作った上で実行したのか。

      • by Anonymous Coward on 2020年09月17日 19時34分 (#3890949)

        https://www.sankei.com/economy/news/200917/ecn2009170036-n1.html [sankei.com]
        paypayのSMS認証突破された、今日のニュース。
        メール認証に意味があるかわからないよ。

        親コメント
        • by Anonymous Coward

          これはPayPayなどの口座作るときのSMS認証に飛ばし携帯使ったというのだからちょっと違うくない?

        • by Anonymous Coward

          よくわからん記事だな
          PayPayのアカウント作ったのは攻撃者じゃないのか?
          攻撃者が設定した電話番号にSMSが届くのは当然なのでは
          SIMの契約なんかは多重債務者でも使ってやればいいんじゃないの

        • by Anonymous Coward

          そのSMS認証は銀行口座に登録されている番号にSMSを送ってるわけではなくて、
          決済サービスに新規登録する際に入力した番号に送ってるの
          銀行口座名義本人かどうかの確認は、ドコモ口座だろうとPayPayだろうと、口座振替登録の可否でしか行ってない
          SMS認証が突破されたわけではない

          その記事には

          何らかの形で入手した、本人確認が不十分な携帯電話を用いたようだ

          と書かれているけど、自分で用意せずSMS認証代行業者に頼んでいる可能性もあるし、

          「携帯電話不正利用防止法」で、携帯電話事業者は契約時に本人確認を行うことが義務付けられている。

          と書かれているけど、通話はできずSMSの受信はできるデータ専用SIMは、本人確認義務がない

      • by Anonymous Coward

        #3890951 [srad.jp]にリンク張られてる日経の記事によると、被害者は取引パスワードをログインパスワードと同じものに変更してたようだ。
        また、IDとパスワードはスマホ内のメモで管理してたっていうことなので、そこ見られたら一発でやられる状態になっていたらしい。
        また、記事には「登録外の端末からアクセスがあった際、メールなどで本人に通知をする仕組みもなかった」とある。
        不正に作られた銀行口座は、生年月日などの情報は本人のものと異なっていたということなので、その辺の情報が全部流出したわけではなさそう。

        スマホにマルウェア仕込まれたかソーシャルハックされたかで、ログイン情報知られただけのシンプルな事件のような気がする。

        • by Anonymous Coward

          いうても6口座やで?被害者のうちの一人から聞いた話やろ?

          • by Anonymous Coward

            一番被害額がでかかった人だな。
            1人で総額で3400万近くやられてる。

            • by Anonymous Coward

              これ自分に落ち度があると言ってるようなもんだし、
              SBIの「全額補償」の対象になるんかねぇ。

    • by Anonymous Coward

      長年使ってて、パスワード制限が短すぎるのが不満だったが、現在は直ってるかもと再確認してみた。
      > 半角英数字6文字以上10文字以内
      うん、クレーム少ないのかな。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...