巷では楽天証券の不正アクセス問題が話題ですね。
なんでも口座内の資産を勝手に売られて、代わりに得体のしれない中国株を買われていたとか。
フィッシングではない?
金融機関の口座をハッキングして金を盗む場合には、金の流れを把握されやすい出金の過程が1つのネックになると思っていましたが、この方法はよく考えましたね。
中国株をちょっと寄り付かないような高めの指値で売り出しておき、そこにハッキングした口座から成行で買いをぶつければ簡単に送金できてしまいます。しかも売った人が犯人なのかただの第三者なのかも簡単には判別がつかないという。
被害者は当初はフィッシングでアカウント・パスワードを抜かれたのではと疑われていましたが、絶対にフィッシングには引っ掛かっていないという被害者が複数出てきてちょっと流れが変わってきています。
フィッシングでないとすると、楽天証券側からの情報流出、PCをハッキングされてブラウザのパスワードマネージャーなどから抜かれた説など、可能性は広範囲に広がっていきます。
とりあえずパスワード変更など
本当の原因が何なのかはもう少し情報を待たないといけませんが、とりあえず楽天証券のパスワードを変更しておきました。
しかしよく考えてみますと、証券会社の多くでは取引時にはログインとは別の取引パスワードが必要になりますので、ある意味二段階認証がかかっています。
今回の件で情報が抜かれたことが原因とすると、ログインパスワードに加えて取引パスワードも抜かれてしまっているということになります。しかしフィッシングでログインだけならともかく、取引パスワードまで入れてしまう人は確かに少なそうです。
可能性として上記のPCをハッキングされてブラウザのパスワードマネージャーなどから抜かれた説の場合、パスワードマネージャーに取引パスワードまで覚えさせているとヤバそうですね。
ひょっとしてと思ってブラウザのパスワードマネージャーの中身を確認したところ、私も取引パスワードまで覚えさせている口座がありました^^;。あわてて削除して取引パスワードも変更しましたが。。。
しかしまあ私の場合、幸か不幸か資産を置いています金融機関がかなりの数に分散していますので、どこか1か所で被害にあっても全財産を一気に失うことは無さそうです。これも1つのリスク分散と言えなくもないですね。
もう少し年をとって多数の口座の管理が難しくなってたときには少数の口座にまとめ直すかもしれませんが、その時には二段階認証などで口座のセキュリティをガチガチに固めるしかないですね。