SBI証券、顧客資金9864万円が流出 偽口座に送金
コメント
選択しているユーザー
本件は、たまたまタイミングが重なっただけで、ドコモ口座の件とは全く別物。
「オンラインバンキングの不正送金」という大カテゴリは一致しますが、資金の流れも逆ですし、用いられている取引の仕組みも異なります。
金融庁『金融商品取引業者等向けの総合的な監督指針』には、以下の記載があります。
“不正アクセスによる顧客口座からの不正出金を防止するための措置を講じている場合(例えば、振込先金融機関口座(出金先口座)の指定・変更手続きにおいて、顧客口座と名義が異なる出金先口座への指定・変更を認めないこととし、更に転送不要郵便により顧客の住所地に口座指定・変更手続きのための書面を送付するなどにより、顧客口座と名義が異なる出金先口座への振込みを防止する措置を講じている場合)は、取引のリスクに見合った対応がなされているものと考えられる”
本件は、この指針に則り名義が一致している銀行口座に資金を振り込んだところ、そもそもその口座がなりすましで開設されたものだった、という事象。
銀行側において不正開設防止の態勢が検証されるべきである一方で、証券業界でも、リスク評価を一段高めて対策を強化すること(大口取引への追加認証の導入等)が必要と考えます。
金融犯罪対策は、関係するプレーヤー各々における多層防御が必須です。
注目のコメント
この話はドコモ口座とは話が違って対策も違います。
出金先口座に任意の口座を指定された時点で終わりです。出金先口座の指定に出金先口座の多要素認証(MFA)とか持ってきても意味がない。他人名義(証券口座と同じ名義)でも実質的に口座を保有してる状態でフルコントロールできてるわけですから認証通せば済む話です。
ただ、出金先口座の指定に証券側のMFAを必須とするのは意味があります。まぁでもログインそのものにMFAを設定する方が妥当でしょう。
これは他人名義(証券口座と同じ名義)の出金先口座を作らせないか、証券のログインを厳格化して、本人しかログインさせないしかない。
ドコモ口座の話はいい加減、ドコモが本人確認をちゃんとすれば大丈夫って妄想から離れて欲しい。もちろんやった方が不正行為を試行できる絶対数が減ってbetterですが。
何度も言いますが、銀行側の本人確認が確実でない限り永遠になくなりません。IDとパスワードや個人情報をやり取りしてログイン処理してるわけじゃないんです。マネーフォワードを想像されてる方がいらっしゃるのかもしれませんが、あれは例外です。この事故は、今起こっている銀行口座との紐付け手続きによる不正引き出し事故とは、次元が異なる不正です。
↓
今回の事案では、悪意のある第三者が偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設したことが判明しております。
証券口座からの送金は、本人名義の口座にしか送金出来ませんが、この事件ではその銀行口座は、悪意を持って新規開設されたようです。
かつ、SBI証券の3つ必要なパスワードは盗まれたということなので、フィッシングサイトを使ってパスワードを入手したのではないかと思われます。
追記
プロピッカーでも流して理解しまうようですね。
この証券口座の場合は、証券口座は被害者がきちんと本人確認手続きをした口座であり、パスワードを盗まれた事故。
ドコモ口座は、本人確認なしに作れてしまうもの。加えて、銀行口座との紐付け手続きが本人確認手続きになっていることが原因です。