ハッカーが日本の証券会社の口座を乗っ取り、世界のペニー株をつり上げる
ハッカーがオンライン証券口座を悪用し、世界中のペニー株の価格を操作しているという憂慮すべきトレンドが日本で発生している。
すでに約1000億円(約7億1000万ドル)もの取引被害が出ているこの詐欺行為は、収まる気配がない。
攻撃は日本、米国、中国の低位株を標的にしていると見られ、操作された価格は詐欺の背後にいる者に大きな利益をもたらす。
ハッカーはどのように詐欺を実行するのか?
サイバー犯罪者は、フィッシングメールや偽のウェブサイトを通じてログイン情報を盗み、顧客の証券口座にアクセスする。
そして、日本、中国、アメリカの小型株、つまり取引量の少ない証券を購入し、株価を吊り上げるのだ。
このような高騰した価格によって、犯罪者やその共犯者は市場が修正される前に現金化することができる。
こうした不正行為を受けて、日本の証券各社は、特に中国や米国に関連する一部の小型株の新規買い注文を停止する措置をとった。
こうした対策にもかかわらず、問題の規模は拡大し続けている。
日本の大手ブローカーが不正取引を確認
楽天証券やSBI証券など日本の大手オンライン証券8社は、自社のプラットフォームがこうした不正取引に使用されたことを確認している。
楽天証券は、不正取引の急増に注意を喚起する警告バナーを目立つ場所に掲示した。(翻訳画像)
この情報漏洩は、日本のサイバーセキュリティの脆弱性を露呈し、規制当局と投資家の双方から懸念の声が上がっている。
金融庁(FSA)は関与しているが、この問題は、オンライン取引プラットフォームを保護するための国の取り組みのギャップを浮き彫りにしている。
ショックと損失を被った投資家たち
投資家への影響は不可解であり、大きな犠牲を伴うものであった。
愛知県に住む41歳のパート従業員、森麻衣さんは、楽天の退職金口座が63万9777円(4500ドル)相当の中国株の購入に使われていたことを発見した。
彼女が楽天に連絡したところ、同社は警察に被害届を提出するようアドバイスした。
森はそう振り返った、
「警察から聞いた話では、ほとんどの詐欺事件では、被害者はただ黙って損失を受け入れるしかないことが多いそうです。基本的に、できることはあまりないのです」。
他の被害者も同じような苛立ちを味わっており、何人かはいまだに自分のアカウントがどのようにして漏洩したのかを理解できずにいる。
このような問題にもかかわらず、楽天証券やSBI証券などの証券会社は、誠実に対応することを約束し、それぞれのケースを個別に調査していると主張している。
不正取引の急増に警鐘
日本ではここ数ヶ月、疑わしい取引行為が急増している。
によると金融庁 不正ログインの報告件数は、2月の43件から4月中旬には1,847件に増加し、不正取引は33件から736件に増加した。
報告件数は2ヶ月足らずの間に劇的に急増し、不正アクセス事件は2月から4月にかけて40倍以上に、不正取引は同期間に20倍以上に増加した。
不正取引の急増は、日本経済や、家計に株式市場への投資を促すためのキャンペーンに重大な影響を与える可能性がある。
サイバーセキュリティの専門家が潜在的な攻撃手法を特定
専門家は、ハッカーが証券口座にアクセスするために「中間者攻撃」(AiTM)と情報窃取マルウェアを組み合わせて使用していると考えている。
最初の手口は、被害者を騙して偽のウェブサイトを訪問させ、ログイン情報を収集する一方、詐欺を合法的な取引プラットフォームに偽装するものだ。
このようなサイトは、ユーザーを本物の証券会社のサイトにリダイレクトすることが多く、攻撃者はそこでログインクッキーのようなセッションデータを取得することができる。
出典:duo.com
AiTMの仕組みの図解(出典:duo.com)
あるいは、インフォステーラーとは、感染したデバイスからユーザー名やパスワードなどの機密情報を密かに採取する悪意のあるプログラムのことである。
出典:cyber.gov.au
データを入手すると、攻撃者に直接送られる。
マクニカセキュリティリサーチの瀬地山豊副所長は、モバイルアプリよりもデスクトップブラウザが好まれることが、さらなる脆弱性を生むと指摘する。
彼は言った、
「人々がアプリに切り替えていれば、こうした窃盗の多くは食い止められたはずだ」。
損失が膨らむ中、補償を求める投資家たち
懸念が高まり、政府が補償を奨励する努力を行っているにもかかわらず、詐欺の被害者の多くはいまだに金銭的救済を受けていない。
加藤勝信財務相は、証券会社に対し、影響を受けた顧客と損失補償について「誠意を持って」話し合うよう求めた。
しかし、これまでのところ、盗まれた資金の払い戻しを受けた投資家はほとんどいない。
日本証券業協会は、増加する詐欺行為に対応するため、証券会社に多要素認証の義務化など、より安全な慣行を採用するよう働きかけている。
それでもなお、こうした侵害に対処するプロセスは企業によって一貫しておらず、多くの被害者が幻滅と脆弱性を感じている。
日本がこうした難題に直面する中、個人投資家と広範な金融エコシステム双方への影響が依然として懸念されており、専門家はさらなる侵害を防ぐための迅速な対策を求めている。