ジェット証券の顧客になりすまし不正アクセスをしたとして、警視庁が日立製作所社員のシステムエンジニアを逮捕しました。以下、日テレNEWS24からの抜粋です。
ネット証券サーバーに不正アクセス 男逮捕<3/15 15:41>
自分が作ったコンピュータープログラムの機能を上げるために、インターネット証券会社のサーバーでテストをしていた男が逮捕された。
不正アクセス禁止法違反の疑いで逮捕されたのは、横浜市のシステムエンジニア・西野典秀容疑者(31)。調べによると、西野容疑者は、簡単にIDパスワードを入力できる自作のプログラムの精度を試す目的で、インターネット証券会社のサーバーコンピューターに不正にアクセスした疑いが持たれている。
報道によると、西野容疑者はIDやパスワードが簡単に入力できるソフトを作り、その動作テスト目的で不正アクセスを行ったとのことです。この言い分を信じるなら、いわゆる「IDマネージャー」や「パスワードマネージャー」と呼ばれるソフトを自作していたということになります。
今回のニュースを見て、早速、私も自分のジェット証券の口座にログインしてみました。問題が三つ見つかりました。
- ID=口座番号であり、IDは数字
- デフォルト設定だとパスワードも数字のみ (あとで英数字を混ぜたパスワードに変更することは可能)
- ログインエラーが発生しても、何度でもログインを再試行することができる
西野容疑者は、「自動的に何億通りものIDを打ち込む総当たり攻撃で不正にアクセスしていた」とのことですが、サーバーの仕様が上記のようになっているので、不正アクセスしやすかったのでしょう。
ジェット証券は、「一日のうちにログインを試みることができるのは5回まで」といった不正アクセス対策をするべきですね。
また、我々個人投資家が不正アクセスの被害に遭わないためには、「IDやパスワードを複雑なものにする」「ログインに何回か失敗するとログインができなくなる証券会社を利用する」といった工夫が必要になるでしょう。
なお、今回の事件ですが、西野容疑者は他人の口座にログインしたものの、勝手に出金したり株取引を行ったりといった行為はしなかったようです。
出金手続きを行ったとしても、お金は名義人の口座に振り込まれるので、犯人が金を盗むのは難しいです。
問題は、犯人が他人の口座を使って株取引をやった場合です。その場合、犯人は不正に利益を上げることができます。
まず犯人が自分の口座でAという銘柄を買ったとします。その後、犯人は被害者の投資口座を利用してA銘柄を購入し値を吊り上げます。その後、自分が持っているA銘柄を売り逃げて利益をかすめ取るという犯罪手法です。
これはインターネット大国かつ金融大国であるアメリカでは実際に起こっている犯罪手口であり、pump-and-dump (パンプアンドダンプ)と呼ばれています。pumpはポンプのことで、dumpは「どさっと落とす」という意味です。
今回、西野容疑者は金銭的な利益を得ていませんでしたが、やろうと思えばpump-and-dumpをやれたということであり、証券業界に波紋を呼ぶ事件といえるでしょう。
▼関連記事