まさか、SBI証券まで。
ただ、良く調べてみると、セキュリティの甘さと言うよりは、そもそも個人の使い方の方に非があるような気がします。
なんのために、こういう仕組みになっているのかを理解しないで使っている人が多い。
というのが本当のところなんでしょうか。
ID/パスワードを公開していて、パスワードを使いまわしていると、どんなにセキュリティをしっかりしていても取られるのは仕方ないというところもあるでしょう。
口座決済サービスでの被害発生中
NTTドコモの電子マネー決済サービスであるドコモ口座を利用した、不正な預金引き出しが相次いでいるという問題。
そもそも、口座番号や暗証番号などが、第三者の手に渡って怒っているということですが。
そこで、第三者が預金者になりすまして、ドコモ口座を設け、銀行口座から金を移していると。
口座番号や暗証暗号が、外部に漏れたのはなぜか。
と言う疑問があります。
暗証番号が漏れたのが不注意であるのか、それとも別のサイトのセキュリティの甘さにより漏れたのか。
パスワードの管理は、サイト・サービスごとに変え、それをパスワード管理ツールにより管理するのがいいと言われています。
しかし、パスワードを入力するたびに、パスワード管理ツールを起動するのも面倒だし。
あと、パスワード管理ツールのパスワードを盗まれると、全てのサイトのパスワードが漏れてしまうというリスクもあります。
もう一体どうしたらいいんでしょうね。
そんな中、セキュリティの厳しさで知られるSBI証券で、資金流出がありました。
SBI証券での資金流出
記事によると、SBI証券で、計9,864万円が流出した事故があったとのこと。
SBI証券と銀行とで、セキュリティが破られたとのことですが。
いやー、どうなってるんでしょうかね。
状況はと言うと、第三者がなんらかの方法により、IDとパスワードを入手。
不正に顧客の口座にログインし、個人情報を更に入手し、パスポートなどを偽造し、銀行口座を開設。
その後に、口座の株を売却し、不正に開設した銀行口座に資金を移したとのことです。
被害にあった人は全部で6人だそうです。
SBI証券が調査したところ、SBI証券側からIDやパスワードが流出した形跡はないとのこと。
どうやら、第三者はネット通販などの他のサイトから、IDやパスワードを入手し、それを試しにSBI証券にログインし、たまたまヒットした口座に対してアタックしたとみられているようです。
SBI証券など、ネット証券などのセキュリティは、基本的に高く設定されていると思われます。
それもSBI証券なんか、ネット証券界の巨匠となれば、セキュリティはなおさらでしょう。
こう見ると、他のサイトと同じID/パスワードを使用していたという、恐ろしいほどのセキュリティ管理のなさが招いた結果だと言えますが。
SBI証券では、いろんな場面で、取引パスワードなるものを入力させます。
取引時に、ログインの時のパスワードとは別のコードを入れさせるわけです。
今回では、信じられないことにログインパスワードと、取引パスワードが同じだった口座が狙われたとのこと。
これはもう利用者側の無知としかいえませんね。
何のための取引パスワードか理解していないってことですからね。
使う側の知識と意識が必要
今回は、ドコモの場合とかなり異なります。
まず、パスポートなどを偽造している点。
これはそう簡単にできないでしょう。
もうプロ集団っていう感じがしますね。
プロに狙われたら、多少緩いセキュリティのシステムとか、意識が弱い利用者は簡単に突破されそうですね。
しかし、パスワードの管理やIDの管理はしっかりしておかないと。
怖いですね。
SBI証券の場合には、それでもいろんな取引時に、パスワードの入力が求められます。
だから、そのパスワードを変えていたら、防げていたことです。
それをしっかりと理解していないとね。
さらに厳しい手続きが必要となる
今回の事件を受けて、SBI証券では、銀行口座を紐づける手続きをネット上でできなくするそうです。
今後は郵送により書類を確認するように厳格化を進めるようです。
まじか。
こういうのもプロにかかれば、途中で郵便物をインターセプトされるとか、逆にちょっと怖くなったりしますけどね。
こういう事件があると、手続きを厳しくする。
そうすると余計に複雑になり、なんとか簡略化できないかと利用者も考える。
まずパスワードの共通化。
こうなるともう何が何だか分からなくなりますね。
指紋認証などの生態認証も活用されていくようですが、スマフォを買い換えた時にどうしようかと悩みだすと、指紋登録はやめておこうかということにもなる。
スマフォの買い替えが一番難点になったりもしますね。
データをクラウド上に上げて、スマフォ上にはほとんどデータを残さないようにし、買い替えを容易にできればいいのですが。
そうはいかないんですよね。
パスワードをハックする手段として、偽サイトを作って誘導させる方法も、頻繁に使用されています。
偽サイトなんて、もう素人には見分け付きませんからね。
アクセスする端末やスマフォなどを特定し、それ以外の端末からのアクセスは警告をだすなどの手段が必要かと。
一部では活用されており、日ごろと異なる端末からアクセスがありましたとメールで警告が来ることがあります。
そういうのも有効かと思いますね。
MACアドレスなど、端末固有の情報で管理すれば。
しかし、そこも偽造される恐れもって。
もうセキュリティはイタチごっことなり、結局現金がいいねってことになったりして。
高額の取引については、もっと厳格化するというのが現実的なのかな。
少額の取引では、犯罪者側も割に合わないでしょうからね。