近年、オンライン証券取引サービスにおける不正取引が深刻な問題として浮上しており、その発生件数は増加の一途をたどっている。本稿は、まず、観測されている不正売買の手口とその特徴を分析する。次いで、このような不正が横行する背景にあるプラットフォーム側の潜在的な脆弱性に言及し、最後に、利用者が自己の資産を守るために講じるべき具体的な対策について考察する。
オンライン証券サービスにおける不正売買の実態
勝手に株を売買されて、含み損を押し付けられる事件が続出しています。
オンライン証券サービスにおいて観測される不正売買の手口は、典型的には、第三者が口座名義人になりすまし、その保有資産を無断で売却することから始まる。続いて、攻撃者自身が操作する別の口座で、出来高が極めて少ない銘柄に対し著しく高い指値による売注文を発注しておき、なりすまし口座を用いてその株式を高値で購入するのである。この一連の操作により、攻撃者はなりすまし口座の資産を現金化し、不正な利益を自己の口座に移転させる。
この手法の特筆すべき点は、その現金化の効率性にある。従来の振り込め詐欺などが現金引き出しという物理的な障壁を伴うのに対し、この手口はオンライン上で資産移転を完結させることが可能であり、攻撃者にとってのハードルが低い。この特性は、もしユーザーのログイン情報が容易に漏洩する環境にあるならば、本手法が不正行為の主流となり得る危険性を示唆しており、看過できない事態である。
不正売買の被害を防ぐための考察
不正売買の被害に遭遇しないために、利用者側が講じるべき対策は複数存在する。以下では、主にログインおよびパスワード管理に関する注意点と、日頃の基本的な対策について論じる。
ログイン時の注意
セッション情報の漏洩リスクに対する警戒
ネット証券にログインしたら、他のサイトを閲覧しない方が良いかも。
一部のオンライン証券サービスでは、ログイン後のURLにセッションIDをクエリパラメータとして付与しているケースが見られる。セッションIDはユーザーの認証状態を維持するために用いられる重要な情報である。
ブラウザには、HTTPリファラーとして、現在閲覧しているページから遷移元ページの情報を送信する機能がある。ログイン状態のブラウザで他のウェブサイトへ移動した場合、リファラー情報を通じてセッションIDが意図せず第三者のウェブサーバーに送信される可能性がある。このようなセッションIDの漏洩は、セッションハイジャックと呼ばれる不正ログインの手法に悪用される危険性を孕んでいる。
もちろん、多くのウェブサイトではクエリパラメータがリファラーとして送信されることは少ないとされるが、Referrer-Policy: unsafe-url のような設定がなされている場合にはそのリスクは無視できない。また、セッションIDが知られただけで直ちに不正ログインに繋がらない堅牢なシステム設計が理想であるが、セキュリティ意識の低いサイトにおいては、その可能性を警戒するに越したことはない。そもそも、URLにセッションIDを露呈させる設計自体が、そのサービス提供者のセキュリティ意識の低さを示唆していると捉えるべきであり、楽観視や安易な信頼は禁物である。したがって、ログイン後は極力、そのブラウザで他のサイトへ遷移しないようにすることが望ましい。
ログイン環境の選定
他人が提供するWi-Fiを利用中に、ネット証券にログインしないようにしましょう。
信頼できない、あるいは安全性が不明なネットワーク環境下でオンライン証券サービスにログインすることは避けるべきである。通常、SSL/TLS通信による暗号化が施されており、通信内容は秘匿されるはずである。しかし、悪意のある環境下では、ネットワーク経路上のプロキシサーバーなどによって通信が傍受・復号化され、ログイン情報(パスワード等)が盗み見られた後、改めて暗号化されて証券会社へ伝達される、いわゆる中間者攻撃(Man-in-the-Middle)のリスクが存在する。これを防ぐためには、ログインを行うネットワーク環境を慎重に選択する必要がある。
パスワード管理に関する注意
ブラウザへのパスワード保存の回避
ブラウザに「パスワードを保存しますか?」と聞かれても、保存しないほうが安全です。
オンライン証券サービスへの初回ログイン時に、ブラウザがパスワードの保存を推奨することがあるが、この機能は利用すべきではない。もし利用者のPCがスパイウェア(Infostealer)に感染していた場合、ブラウザに保存されたパスワード情報が外部へ送信されてしまう危険性が極めて高い。
他サービスへのパスワード提供の禁止
ログインIDとパスワードを、他のサービスに渡してしまうのは不安です。
複数の証券口座の資産を一括管理できるといった利便性を謳う第三者サービスに、自身のオンライン証券サービスのログインIDとパスワードを提供することは、セキュリティ上の大きなリスクを伴う。これらのサービス事業者が適切なセキュリティ対策を講じている保証はなく、情報漏洩のリスクを考慮すると、安易な利用は避けるのが賢明である。
定期的なパスワード変更の推奨
手間がかかりますが、パスワードを更新しましょう。
万が一、何らかの経路でパスワードが漏洩した場合でも、攻撃者がそれを利用する前にパスワードを変更していれば被害を回避または軽減できる可能性がある。不審な兆候を感じた際はもちろん、そうでなくとも定期的にパスワードを変更することは有効な対策となり得る。
加えて、オンライン証券会社の内部犯によるログイン情報の不正な持ち出しや売却、あるいは証券会社システム内部でのウイルス感染といった可能性も否定できない。これらのリスクを考慮すると、パスワードの定期的な変更は一定の意味を持つと考えるべきである。特に、パスワードがハッシュ化という復号が極めて困難な形式で適切に暗号化されて保存されているならば外部への持ち出しは困難であるが、例えばSBI証券においてパスワードの大文字小文字を入れ替えてもログイン可能であるといった、通常のハッシュ化処理では起こり得ない挙動が観測されている事例は、パスワードが適切にハッシュ化されていない可能性も払拭できないことを示唆している。このような状況下では、利用者自身によるパスワード管理の徹底がより一層重要となる。
日頃の対策
メールに含まれるリンクへの慎重な対応
フィッシング詐欺かも知れないので、メールのリンクをクリックするのは慎重に。
フィッシング詐欺に対する警戒は不可欠である。メールの差出人情報を偽装することは容易であり、また、表示されているリンク先のURLと実際の遷移先URLを異なるものに見せかけることも技術的に可能である。不審なメールに記載されたリンクを安易にクリックすることは避け、メールの真贋を常に疑う姿勢を持つ必要がある。
セキュリティソフトウェアによる定期的なスキャン
ウイルススキャンをしましょう。
自身の利用するPCやスマートフォンにセキュリティ対策ソフトウェアを導入し、定期的にウイルススキャンを実行することで、既知のスパイウェアやマルウェアへの感染がないかを確認することは基本的ながら重要な対策である。
多段階認証の活用とその限界
多段階認証を活用しましょう。
多くのオンラインサービスで導入されている多段階認証は、ログインプロセスに複数の認証要素を追加することでセキュリティを強化する有効な手段とされる。オンライン証券サービスにおいても、設定可能な場合はこれを活用すべきである。しかし、現状ではログインIDとパスワードのみでログインが可能な仕組みが依然として放置されているケースも少なくない。主要な認証手段であるIDとパスワードが脆弱であれば、たとえ多段階認証を導入していても、その効果は限定的となり得る。利用者は多段階認証を設定したとしても、それで万全であると過信せず、前述したその他の対策と併せて多層的な防御を講じる必要がある。
コメント