ブログランキングに参加しています。よろしければ応援クリックお願いします。
1.証券口座乗っ取り捜査始まる
5月30日、インターネット上で証券口座が乗っ取られ、不正に株を売買される被害が相次いだ問題で、警視庁が不正アクセス禁止法違反容疑で捜査を始めたことが分かりました。特定企業の株を不正に購入し、株価をつり上げる「相場操縦」が行われた疑いもあり、金融商品取引法違反容疑も視野に調べるとのことです。
金融庁によると、株式が不正に売買された取引の件数は1~4月の4ヶ月間で3505件、売買額は約3050億円に上り、不正アクセスは6380件だったとのことです。
被害が確認された証券会社によると、乗っ取られた口座では、低価格の中国株などが大量に売買されていたとのことですけれども、まぁ、この時点で誰が犯人か分かるというものです。
実際、証券口座の一部では、中国が発信元とみられる不正アクセスの形跡があり、警視庁は、警察庁サイバー特別捜査部と連携して特定を急ぐとしています。
セキュリティー会社の分析によると、プログラムの一部に運送会社の偽サイトに使われていたことを示す文字列が確認され、更に「中国語」の表示も複数確認されたとのことです。いずれも「送信ができない」や「ユーザー不在」といったエラーコードを示す内容で、セキュリティー会社「マクニカ」の掛谷勇治氏は「今回の株価操縦とみられる件との関連性は不明ですが、このフィッシングサイトのコードを作成した人は、こういった中国語を使うことに慣れている可能性はあるとみていいと思います」と指摘しています。
2.不正取引被害
当然ながら、各証券会社は対策を取りました。
5月6日、SBI証券は全ての中国株について新規の買い注文の受け付けを停止しました。自社で扱うのは約1300銘柄あるそうです。
5月8日からは、野村証券が不正拡大を防ぐため、ネット経由での注文を停止。店舗や電話での取引で対応するとのことです。
また、楽天証券でも不正な取引があった可能性のある中国株約1000銘柄の買い注文の受け付けを停止。5月14日には、米国株20銘柄も停止したそうです。
証券口座の不正取引は、野村証券や大和証券、SMBC日興証券などの大手証券会社のほか、準大手や中堅証券会社にも広がっており、日本証券業協会は5月29日、被害が確認された証券会社は16社に上ると発表しています。
被害を受けた埼玉県の会社員男性は次のように経緯を述べています。
・3月20日、楽天証券の自身の口座に見覚えのない中国株を見つけたこのように、乗っ取られた口座では、中国や日本などの低価格で売買の少ない株が大量購入されていたようで、しんきんアセットマネジメント投信の藤原直樹シニアファンドマネジャーは「大量購入して株価をつり上げたところで、あらかじめ保有していた株を売却し、利益を得ようとしているのでは」とコメントしています。
・前日の取引履歴を確認すると、保有していた日本株約1200万円分がいつの間にか売却され、その売却益で中国企業1社の計20万株(日本円で1株約57円)が購入されていた。
・「何か犯罪に巻き込まれているのでは」と思い怖くなった男性は、すぐに中国株を全て売却したが、約210万円の損失が生じた。
・後日、楽天証券に問い合わせると、自身のものではないパソコンから不正にログインされた形跡が確認された。
・楽天証券は「本人が入力したか否かにかかわらず、登録されたIDや暗証番号で取引されたものは補償しない」と説明。
・男性は「不正取引なのに納得がいかない」として法的措置も検討している。
3.インフォスティーラー
不正取引が行われた口座のIDや暗証番号は、証券会社の偽サイトに誘導する「フィッシング詐欺」や、「マルウェア」によって盗み取られたとみられているのですけれども、フィッシング対策協議会によると、証券会社を装ったフィッシング詐欺メールや偽サイトに関する事業者、市民からの報告は、1月から増え始め、3月~4月8日の間は17600件に急増したとのことです。
メールは「緊急・重要」「アカウントが使えなくなる」などと不安をあおり、リンクから偽サイトに誘導しようとする内容。メールセキュリティー大手「日本プルーフポイント」の増田幸美チーフエバンジェリストは、「メールにはセキュリティーをすり抜ける仕掛けも取り入れられている」とコメントしています。
偽サイトは、証券会社の正規サイトの画面をコピーして作られており、見分けるのは非常に困難とのことで、フィッシング対策協議会は「メールやSMSにあるリンクは開かず、取引はブックマーク済みの正規サイトやアプリから行うよう徹底してほしい」と注意を促しています。
前述のセキュリティー会社「マクニカ」は、複数の証券会社の利用者のアカウントとみられるデータも延べ11万件余り見つかっていると明らかにしています。
そのデータの中身を分析すると、フィッシングに加えて、別の方法でもパスワードが盗み取られている可能性があるそうで、情報を盗み出すコンピューターウイルス「インフォスティーラー」による手口だと指摘しています。
そのウイルス「インフォスティーラー」はサイトやメールなどを通じてパソコンにひそかにダウンロードされ、インターネット閲覧ソフトのブラウザーに保存したIDやパスワードなどの個人情報を抜き取るもので、闇サイトで確認された11万件のアカウントのうちの3万件近くが、このウイルスによって盗み出されたものとみられるのだそうです。
セキュリティー会社「マクニカ」の瀬治山豊氏は「確認されたデータは本当に氷山の一角で、実際に奪われているデータははるかに多いと考えられる。インフォスティーラーについては情報を盗んだ後に証拠を隠滅するために、自分自身を削除したり、痕跡を消したりする機能があるものも存在していて、気づくことが非常に難しくなっている」と指摘。
4.日本語ファイヤーウォールを崩し始めたAI
当然ながら、取引停止でとりあえずの被害拡大を止めた各証券会社も、顧客の口座のセキュリティ強化に取り組んでいます。
証券各社は、IDやパスワードに加え、一時的に発行される「ワンタイムパスワード」の入力や端末認証などで本人確認する「多要素認証」も導入、顧客に利用を強く呼びかけています。もっとも、「証券取引では瞬時の決断が成果を左右するため、手続きが一手間増えるのを好まない顧客もいる」と証券関係者は指摘しています。
また、日本証券業協会は、多要素認証の強化などを念頭に、不正アクセス防止に関する対策指針の改定に向けた議論を始め、「これまでにない事象。何が起きているのかを把握し、顧客が安心して取引できるよう対策を考えていく」としています。
証券取引等監視委員会において、インサイダー取引・相場操縦等の不公正取引の調査業務に従事した経験を持つ、深沢篤嗣 弁護士は次のように述べています。
・当局が取り引き記録を調べれば、これまでは口座の持ち主から誰が関与していたかが分かったが、不正に乗っ取った口座では無関係な被害者が取り引きしたことになってしまっている。AIの進歩とその悪用によって、より騙されやすくなったというのですね。これは時代と逆行するかもしれませんけれども、大事なもの程、対面取引などサイバーに頼らないアナログ的な対策も必要になってくるかもしれませんね。
・株を売却して利益を得ている口座があったとしても、現金化に必要な預金口座とあわせて犯罪者本人のものである可能性は低く、不正に購入しているかもしれない。IPアドレスなどで実際に操作した人物をたどらなくてはならず、海外から操作していたとすると、日本だけでなく海外の当局との連携も重要になる
・日本を含めて近年は国際的にマネーロンダリングへの規制が強化されていて、口座の開設や保有に反社会的な人物が関わっていないかを調査して、凍結や解約の対応を取っている。株価操縦をするような属性の人物が証券口座を持つこと自体が難しくなっていて、そのため他人の口座を乗っ取って使わざるを得なかったのではないか。
また、闇サイトの元管理者で、アメリカで逮捕され服役したあと、現在はセキュリティー組織「Chong lua dao」のゴー・ミン・ヒュー CEOは、次のように述べています。
・テレグラムを通じて、さまざまな国のサイバー犯罪者が国境を越えてつながり、グループを作っている。攻撃者は稼いだ資産や身元を隠すさまざまな手段を持っていて、私たちより常に一歩先を進んでいる。それに1人が逮捕されたとしても、また別の攻撃者が出てきて、止まることはない。
・SNSを分析したところ、中国語を話す人物による攻撃が増えていて、カンボジアやミャンマーなど東南アジアに潜伏して活動しているとみられる。
・日本は言語の複雑さのおかげで守られていて、以前のフィッシング作成用のソフトでは独特の表現が再現できなかった。それが生成AIの登場で状況が変わり、日本のセキュリティー意識の問題も相まって、標的になっている。私は日本語が分からないが、そんな私でもAIを使えば簡単に、完璧な日本語で偽のフィッシングサイトを作ることができる。日本は攻撃者にとって魅力的な市場で、金儲けはあまりにも簡単だ。
この記事へのコメント
ルシファード