楽天証券は28日、「容疑者逮捕は事件解決への大きな一歩だが、サイバー犯罪の手法は日々進化している。被害が続く可能性もあり、セキュリティー強化を続けたい」とコメントした。 「証券口座乗っ取り」による不正取引でこれまでに被害を公表している証券会社は18社に上る。被害の多い野村、SBI、楽天の大手3社では、顧客への補償費用として計100億円超を計上する異例の事態だ。 被害は4月にピークに達した後、証券各社がログイン時にIDとパスワード以外の複数の認証方法を組み合わせる「多要素認証」の必須化を進めるなどセキュリティーを強化した6月ごろから大幅に減少した。 しかし、その後も中堅証券などに波及したり、新たな不正アクセスの手法が確認されたりしたことで継続した。特に、「リアルタイムフィッシング」と呼ばれる手口が手ごわい。偽メールで誘導した不正サイトで顧客のIDなどを盗むのに加え、ショートメッセージサービス(SMS)などで本人に届く追加の認証コードなども即座に偽サイトに入力させて認証を突破するもので、被害が確認された。 対策として、日本証券業協会などは、より安全度の高い指紋などを用いた「生体認証」の導入を要請。野村証券が29日から生体認証を必須化するなど大手証券は積極的に導入を図っているが、会社によって対策の進捗(しんちょく)には濃淡があるのが現実だ。 被害が広がった背景には、証券業界の対応が後手に回ったこともある。従来、証券口座から直接資金が盗み出されるケースを念頭に対策を進めており、今回のように不正アクセスで株価操縦されることを想定していなかったからだ。日本証券業協会の日比野隆司会長は10月の記者会見で「資金流出には対策を講じていたが、一般的には想定できない手口だった」と釈明した。 対策はいたちごっこの様相だ。サイバーセキュリティーに詳しいSBテクノロジーの辻伸弘氏は「彼らがIDを盗み取った具体的な手法が分からないと効果的な対策は打ちづらい」と指摘する。背景にあるのは犯罪組織の国際的な分業化だ。IDをだまし取った組織と今回の容疑者の組織が別だった場合、犯罪手法がパッケージとして確立している可能性があるからだ。金融庁も「証券会社やその利用者は引き続き口座乗っ取りへの警戒が必要だ」としている。【秋丸生帆、福富智】