こんにちは！

今回は方向を少し変えて最近被害が続出している
証券会社での不正アクセス被害について解説して行きます。

証券会社不正アクセス被害とは？

最近某証券会社で不正アクセス被害が増えており、200万円勝手に引き出されたや株を勝手に買わされた被害が報告されています。

なぜ被害が続出しているの？

被害が続出している原因はフィッシングサイトによるログイン情報の流出が大きいようで、証券会社は追加の認証サービス利用を呼びかけているようです。

フィッシングサイトとは？

フィッシングサイトとは本物のサイトと同じ見た目で類似の機能を持つサイトのことです。
このサイトはプロでも見た目で判断することは難しく、万が一情報を入力してしまうと犯罪者にログイン情報が渡ってしまい、不正アクセス被害に繋がってしまいます。

フィッシングサイトへの流入経路

流入経路として最も多いのがメール経由での流入で、「不正アクセスを検知しました。こちらのURLよりパスワードを変更してください」といった内容のメールを受信し、URLをクリックしてしまうといったものが多いです。
また、SMSなどを使う場合もあるのでこちらも要注意です。

不正アクセスされないための対策は？

不正アクセスされないための対策もいくつかあります。ただ、要注意な部分もあるので気をつけて見ていきます。

メールのリンクを開かない

誰でもできそうな対策として、そもそもメールのリンクを開かないというのもありです。
ただ手続き中の本人確認メールなどは開く必要があるため、一律で開かないは難しそうです。

お知らせ系メールが来た時は直接公式サイトにアクセスする

例えば不正アクセスを検知したなどのメールが来た場合、直接公式サイトにアクセスするのは有効かと思います。お金を扱ってるサイトなどはブックマークに登録しておきそこからアクセスが良さそうですね

メールのドメインを確認する

ここからは慣れた人向けですが、メールのドメインを確認することでも判別は可能です。
info@test.comの場合、test.comの部分がドメインになります。
ただ、この方法はドメインのなりすましなどがありますので注意する必要があります。

リンク先を確認する

リンク先が正しいURLになっているか確認するという方法もあります。
ただこちらも見た目は正しいURLなのにクリックすると詐欺サイトなどあるので注意する必要があります。

ホームページのドメインを確認する

こちらはもうページを開いてしまった状態ですが、このページが詐欺サイトなのか見分ける方法としてはドメインをみるという方法があります。
たとえば、amazon.comは本物、amason.comなどは偽物と言った感じですね
上記のように類似のドメインを使ってくることがあるため注意してください

フィッシングサイトは簡単に作れる？

実際に作ることは少しのスキルがあれば簡単で、見た目は本物と完全一致のサイトも作ることが出来ます。
権利の関係上実際に作ることはありませんが、当方でも1時間もあれば作れそうです。
(クオリティがそれっぽいものなら3分もあれば行けそうです。)

まとめ

今回はフィッシングサイトについて解説してきましたが、フィッシングサイトで収集したログイン情報をもとに別のサービスに不正アクセスする攻撃手法もあります。
また、使われやすいログイン情報を総当たりで試す攻撃手法もあるので、今回被害に遭わなかった人も要注意ですし、
今回被害にあってしまった人は他サービスのログイン情報を変更するなど対策をわすれないようにしましょう

基本的にプロでも引っかかることがあるのでそれを頭の片隅において行動するのが良さそうです。