“サイバー犯罪者の発明” 証券会社の被害に見る「今までなかったアプローチ」とは?高まる脅威と不正アクセス事件が“対岸の火事ではない”理由
この多要素認証の必須化によって被害件数は今後減少傾向に転じると思われますが、すでに多要素認証をすり抜けるアプローチも登場しています。その一例が「リアルタイムフィッシング」と呼ばれる手法ですが、こちらは今後の記事で詳細な解説を行います。その意味でも、多要素認証さえ設定すればいいというわけではないことも、頭に入れておきたいところです。
どのように口座の認証情報が盗まれるのか
では実際に、どのような攻撃によって被害にあってしまうのでしょうか。今回の証券口座の不正アクセスに関しては、主に2つの手法が考えられると見ています。
①認証情報を盗まれる代表的な手法「フィッシング」
証券会社が提供するWebサイトそっくりのフィッシングサイトを用意し、メールやSMSを駆使して証券口座を持っている人にフィッシングサイトにアクセスさせ、そこで正規の認証情報を入手する手法です。被害者の証券口座にアクセスできるようになった段階で、その口座内にある株式を売却し、売却資金を使って犯罪者が持つ株式を購入、不正に株価を高めて売却益を狙うわけです。
ここで、証券会社と偽って送られてきたフィッシングメールや証券系フィッシングサイトを見てみましょう。実例を見ると、見た目だけではフィッシングサイトと判別できないぐらい精巧に作られていることがわかるはずです。

また正規サービスでは、ログイン直後に取引暗証番号の入力が求められることはありませんが、フィッシングサイトでは「本人確認や取引手数料無料キャンペーンへの応募のため」などと称してそれを入力する画面を表示し、取引に必要なログインID・パスワード・取引暗証番号を入手します。
②フィッシングではないアプローチ「Infostealer」にも注意が必要
証券口座への不正アクセス事案では、前述したフィッシングサイトを経由した情報漏洩が話題になっていますが、被害にあった人の中には、「フィッシングメールを受け取っていない」「フィッシングサイトに誘導されていない」という報告も少なからずあります。
無料会員登録はこちら
ログインはこちら