最近のニュースで証券口座の乗っ取り事件が増えている。
今まさに日本で起きている大事件のこと。
楽天証券やSBI証券など大手オンライン証券会社を標的にした、証券口座の乗っ取りが前例のない規模で発生している。
普通の金融サイバー犯罪と違って、直接お金を盗むんじゃなくて、市場操作が目的だという特徴がある。
攻撃者はまず自分で特定の株、主に取引量が少なく価格の低い「低位株」を買っておく。
それから乗っ取った口座の持ち主が持っている株を買って二売却して現金化し、その資金でさっき買っておいた低位株を大量購入する。
これで株価が急上昇して、攻撃者は高値で売り抜けて利益を得る。
ポンプ・アンド・ダンプって手法だ。
金融庁の報告によると、わずか2か月半で約954億円もの取引が不正に行われた。
それで被害者は持っていた株を勝手に売られただけでなく、価値の下がる株をもたされるという二重被害を受ける。
証券口座にはパスワードや二段階認証があるはずですがどうやって突破したのか。
ここが今回の事件の技術的な興味深いところです。
攻撃者は主に二つの高度な手口を使ったと推測されている。
一つは「AiTM」と呼ばれる中間者攻撃、もう一つは「Info Stealer」という情報窃取型マルウェアです。
これらを使って多要素認証(MFA)までも突破していたんだ。
金融庁の発表によると、6つの証券会社で3,312件の不正アクセスが試みられ、1,454件で不正取引が行われている。
AiTMは「Adversary-in-the-Middle」の略で攻撃者がユーザーと正規のウエブサイトの間に「中間者」としては入り込む手法です。
まず最初に、セキュリィ的警告やアカウント確認のお願い、ポイント執行のお知らせといった緊急性を感じさせるメールやSMSを送り付けてユーザーを焦らせる。
分かりやすく説明すると、これらのメッセージに含まれるリンクから攻撃者は証券会社の公式サイトとそっくりな偽サイト(フィッシングサイト)に誘導する。
それをリバースプロシキして作動させる。
ユーザーが偽サイトにアクセスしてログイン ID や パスワードを入力すると、その情報はリアルタイムで正規サイトに転送される。
ユーザー自身は気づかないまま、実際には攻撃者のプロキシサーバーを経由して正規サイトと通信している状態なる。
SMS などで送られてくるワンタイムパスワードはどうやって突破するのか。
実はSMSやメール、認証アプリで生成されるワンタイムパスワード(OTP)も、このAiTM攻撃では突破できてしまう。
仕組みはこうなっている。
ユーザーが偽サイトでログインした後、本物のサイトから二段階認証のOPTが送られてくる。
ユーザーがそのコードを偽サイトに入力すると攻撃者のプロシキがそれも本物のサイトに転送するんだ。
これで認証が成功すると本物のサイトは「認証済み」のセッションクッキーを発行する。
攻撃者はこのクッキーを窃取して、自分のブラウザに設定すれば、再認証なしでユーザーのアカウントにアクセスできるようになる。
Info Stealerというマルウェアはどういうものなのか。
Info Stealerはその名前の通り情報を盗むことに特化したマルウェア(悪意のあるソフトウェア)です。
感染経路は様々で、悪意のあるメール添付ファイル、不正広告、偽のソフトウェアインストーラー、怪しいブラウザ拡張機能などを通じてパソコンやスマホに入り込む。
一度感染するとブラウザに保存されたパスワード、セッションクッキー、キーボード入力(キーロギング)、個人情報など幅広いデータを密に窃取する。
RedLine、Vider、Lummaといった種類があり、一部は「Maiware-as-a-Service」として闇市場で売買されているものもある。
これにより認証情報やセッションクッキーが盗まれるとやはり不正アクセスが可能になる。
なぜ直接お金を盗むんじゃなくて、こんな複雑な市場操作をしたのか。
証券口座からの高額な現金出金には厳しいチェックや時間のかかる処理が必要だが、株式売買は比較的迅速に行える。
だから通常の不正送金検知システムを回避しやすい。
市場取引を通じて利益を得るので資金の流れが複雑化し追跡が困難になる。
さらに流動性の低い株式市場を悪用すれば、少ない資金で大きな価格変動を引き起こせる。
こうした理由から攻撃者は直接的な資金窃取より市場操作を選んだと考えられている。
この事件を受けて、どんな対策が講じられているのか。
主に三つの階層で対策が進められている。
まず 利用者側ではフィッシングへの警戒強化、強力なパスワード管理、FIDO認証などフィッシング耐性のあるMFAの利用が推奨されている。
金融機関側ではフィッシング耐性MFAの導入義務化、認証、セッション管理の強化、 取引モニタリングの高度化が進んでいる。
この事件をきっかけに日本証券料協会が加盟する58社に対応する認証の必須化を進めている。
規制当局や業界団体はセキュリティ基準の設定と義務化、脅威情報の共有促進、市場監視の強化に取り組んでいる。
FIDO認証というのが有効だという話がありますが、それはどういう仕組みなのか。
従来の認証方法とは何が違うのか。
FIDO認証は「Fast IDentity Online」の略で WebAuthn という標準と組み合わせて使われることが多い。
従来のSMSの (OTP)や認証アプリと決定的に違うのはフィッシング耐性があることだ。
簡単に説明すると公開鍵暗号方式を使っていて、秘密鍵はユーザーデバイスに安全に保存され、外部に送信されない。
重要なのは認証プロセスがドメイン名と紐付いていることだ。
だから、フィッシング サイトに接続しても、ブラウザが正規サイトのドメインを検証し、不一致があれば認証が失敗する仕組みだ。
つまりAiTM攻撃で中継されても成立しない。
今回の事件から得られる教訓は何でしょうか。
今後のサイバーセキュリティ対策にどのような影響があるのか。
従来型MFA(SMSのOPTなど)の限界が明らかになったこと。
技術は進化しているから、セキュリティ対策も常に更新していく必要がある。
サイバー犯罪の目的が直接的な金銭窃取から市場操作へと多様化していることが示された。
これは防御側の監視範囲を広げる必要性を示している。
今後はフィッシング耐性のある認証技術の研究と普及が加速するだろうし、AIを活用した異常検知システムの開発も進むだろう。
またサイバーセキュリティを単なる技術的問題から総合的リスク管理の問題へと再定義する動きも強まるだろう。
これは技術だけでなく、組織のプロセスや規制の枠組みも含めた包括的なアプローチが必要だ。