プレスリリース
各 位
株式会社SBI証券
悪意のある第三者による不正アクセスに関するお知らせ
2020年9月16日
当社のお客さま口座への悪意のある第三者による不正アクセスにより、お客さまの資産が流出したことが判明いたしました。お客さまには大変ご迷惑、ご心配をおかけいたしましたことを深くお詫び申し上げます。
被害を受けられたお客さまには個別にご連絡を行っており、捜査当局および資産流出先の銀行である株式会社ゆうちょ銀行、株式会社三菱UFJ銀行と連携して対応を進めております。なお、お客さまの被害につきましては資産保護を最優先として、当社が責任をもって速やかに補償することを予定しております。
1. 経緯
当社は、不正アクセスに対するモニタリングを常に行っており、不審なアクセスがあればお客さまに直接ご連絡を行うなどして対応を行っておりますが、直近においても不正ログインを検知し、調査・対策を行っておりました。その過程において、2020年9月7日に寄せられた身に覚えのない取引があったとのお客さまからのお申し出を端緒として、当該お客さまのログ調査等により、不審なアクセス元を特定し、そこからアクセスされたその他の口座や同様の特徴のある取引履歴等を分析いたしました。その結果、悪意のある第三者による不正アクセスが行われ、お客さまの有価証券の売却およびお客さま名義の出金先銀行口座への出金を複数件、確認いたしました。現在、出金先銀行と連携して対応を進めております。
当社からの出金は、お客さま本人名義の出金先銀行口座のみに限定されておりますが、今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明しております。悪意のある第三者は、何らかの方法で取得したお客さまの「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等の情報を用いて、当社WEBサイトで出金先銀行口座を不正な銀行口座に変更した上で、出金を行っております。
本事案の判明後、直ちに被害を受けられたお客さまに個別に連絡し対応するとともに、被害拡大防止の観点から、今回判明した攻撃手法から不正アクセスの危険性があると考えられるお客さまを幅広く特定し、「出金停止」、「パスワード強制リセット」などの措置を講じております。また、すべてのお客さまについて、当社WEBサイトでの出金先銀行口座の変更の受付を停止し、住所等の詳細な本人確認ができる郵送による変更手続きのみ受付けることといたしました。
なお、本事案は当社システムから、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を不正取得されたものではありません。
2. 現在判明している被害の状況
・口座数:6口座 (出金先銀行:ゆうちょ銀行5口座、三菱UFJ銀行1口座)
・被害総額:合計9,864万円(ゆうちょ銀行:9,229万円、三菱UFJ銀行:635万円)
3. 再発防止策
引き続き、本事案の個別原因の分析を継続し、より有効な施策を速やかに実施してまいります。
(1)監視
- 不正アクセスに対する24時間モニタリング体制のさらなる強化
- 不正アクセス検知システム(WAF)による新たな攻撃手法への対応
- 不審なIPアドレスからのアクセス排除(IPレピュテーションサービスの一層の活用)
(2)認証
- 一定時間に一度しか利用できないワンタイムパスワードを利用したログイン認証の導入(二要素認証)
- 普段と異なる環境からのログインを検知してお客さまに通知、アクセス遮断を行う仕組みの導入(リスクベース認証)
- お客さまのお手元のスマートフォンなど、特定の端末からのアクセスのみを許可する機能の導入
- 当社WEBサイトへの接続にかかる暗号化通信のさらなる高度化
(3)本人確認
- 出金先銀行口座登録における本人確認の強化
(4)その他
- 出金先銀行との連携強化(ゆうちょ銀行からの情報提供により、水際の出金停止が確認できたケースが複数あり)
- 直接の出金を防止するATMカードの廃止(本年6月30日公表済み、10月3日廃止予定)
- EVERSPINによるダイナミックセキュリティ技術の導入(当社およびSBIネオモバイル証券のスマホアプリに導入済み)
@スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
Aソースコード暗号化機能
BURLの暗号化機能 など
4. お客さまへのお願い
万一の場合の被害拡大を防止する観点から、他のインターネットサービス、特に他のオンライン証券やインターネットバンキングなどと同一のパスワードのご利用は避けていただくようお願いいたします。
また、身に覚えのない取引等があった場合には、以下の窓口までご連絡くださいますようお願い申し上げます。捜査当局等とも連携し、速やかに対応いたします。
なお、当社がお客さまに対して、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」をお尋ねすることはありませんので、そのようなお問い合わせがあった場合でも、ご回答されないようお願いいたします。
カスタマーサービスセンター専用フリーダイヤル
0120-213-384 (営業時間 平日8:00〜20:00、土日9:00-17:00)
※2021/1/4より、お問い合わせ窓口の営業時間を8:00〜17:00(平日のみ)に変更いたしました。
※詳細につきましては、当社WEBサイトにてご確認ください。