報道によると、インターネット上で証券口座が乗っ取られ、不正に株を売買される被害が相次いで発生しています。証券会社が提供したアプリにて、株式や投資信託などを売買する仕組みを悪用した事件です。本日は、本件について、考えてみます。
犯罪グループは、証券会社を装った偽サイトから顧客の認証情報を盗み取っているそうです。一般顧客が、偽サイトに騙されてIDやパスワードを入力してしまうと、犯罪グループが自由に証券口座を使えるようになります。
犯罪グループは、当該口座へアクセスして、保有していた日本株を売却し、売却益で中国や日本の低価格で売買の少ない株を大量購入します。大量購入により株価が上がったところで、あらかじめ保有していた株を売却し、利益を得る手口です。
前述のようなややこしい手口を使う理由は、顧客の証券口座に入っている資金は、予め指定された本人名義の口座にしか、売却益を送金できないからです。犯罪グループは、不正アクセスした口座にある資金は、直接得ることができません。
顧客は、いつの間にか、保有株式が売却されて、代わりに購入していない株式を保有していることに気づき、証券会社へ連絡して、事の顛末を知るようです。当該株は、犯罪グループが大量に売却した後につき、株価が下がっています。気づいた時に売却しても、顧客に損失が生じる可能性が高い模様です。
まず、犯罪グループは、「緊急・重要」「アカウントが使えなくなる」などと不安をあおり、リンクから偽サイトに誘導しようとする内容のメールを送ってきます。本件の対策は、当該メールに騙されないことに尽きます。ただ、顧客個人の確認スキルを上げたり、個人任せにする対応には、限界があります。
証券会社側は、IDやパスワードに加え、一時的に発行される「ワンタイムパスワード」の入力や、端末認証などで本人確認する「多要素認証」も導入して再発防止に努めています。証券業界としても、「多要素認証」を必須化する方向で検討していますが、システム開発コストを要するため、実現には至っていません。
スマートフォンで株取引をする方には、指紋認証による「多要素認証」を利用することをお薦めします。デジタルにはデジタル、パスワードなどのアナログにはアナログによる対策が、効果があるようです。気を付けましょう。
コメント