SBI証券から顧客資金が流出!?

概要


私も利用している、SBI証券ですが2020年9月16日に顧客の6口座から約9864万円が流出したとの「プレスリリース」を発表しました。
最近はやりのドコモ口座みたいなもんなのかなーとは思いましたが、ちょっと違うようです。

インターネット証券のSBI証券は16日、顧客の6口座から約9864万円が流出したと発表した。第三者が証券口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行に作った偽の銀行口座に送金・出金したという。SBI証券は全額を補償する方針。複数の電子決済サービスで銀行預金の流出が相次ぐなか、改めてセキュリティー体制が問われることになりそうだ。

出金先はゆうちょ銀の偽口座あてに5口座、三菱UFJ銀が1口座だった。7~9月初旬の間に証券口座の中の金融資産を売却するなどして換金し、偽口座に送金。SBI証券は偽口座に流出した資金がさらに出金されていることを確認しているという。同社は警察に被害届を提出している。

引用:日本経済新聞

なお、今時点で判明している被害額と送金先は下記のとおりです。

  • 口座数:6口座 (出金先銀行:ゆうちょ銀行5口座、三菱UFJ銀行1口座)
  • 被害総額:合計9,864万円(ゆうちょ銀行:9,229万円、三菱UFJ銀行:635万円)
  • 発覚日:2020年9月7日

ドコモ口座どう違う?


プレスリリース」を見ると、「当社のお客さま口座への悪意のある第三者による不正アクセスにより」と書かれているので少なくともSBI証券側へ不正なアクセスが第三者よりあったようです。


SBI証券からの現金引き出しは、お客さま本人名義の出金先銀行口座のみ登録が出来たので今回はそこを利用されたようです。

  • 顧客名義で銀行口座が開設された
  • 何らかの手段でSBI証券の「ユーザーネーム」、「ログインパスワード」、「取引パスワード」等を入手
  • オンライン上でSBI証券にて出金用口座(同一顧客名義)を登録する

以上の条件で資産の売却が勝手に行われたりプールされていた現金が銀行へ出金されたようです。
さすがに、被害顧客名義で大手銀行の口座が開設できてしまうところがすごいところです。
SBI証券はこうも言っています。

なお、本事案は当社システムから、「ユーザーネーム」、「ログインパスワード」、「取引パスワード」を不正取得されたものではありません。

つまりSBI証券側に不正アクセスがありID類が流出したのではなく被害にあった6口座の情報を顧客側から入手したのであることが推測されます。
SBI証券から不正入手したのであれば被害件数が少ないですしね。
ただ、「SBI証券は全額を補償する方針」とも言っているので顧客側に落ち度が無かったのかもしれないですし、最近のドコモ口座事件の流れがあって全額補償する流れになったのかは不明です。
いずれにせよ、IDパスワード共に使いまわしはせずパスワードは強固な物にししかるべきパスワード管理ツールなどで管理するのが望ましいです。
たった6口座ですが、証券会社ともなると被害単価が大きい!