偽サイトで2段階認証も突破する「証券口座乗っ取り」横行 - 日本経済新聞

証券口座が乗っ取られ、株を勝手に取引される被害が相次いでいる。これまでに楽天、SBI、野村、マネックス、SMBC日興証券など9社で不正アクセスによる株の売買が確認されている。セキュリティーソフト大手のトレンドマイクロによると、以前から証券会社のフィッシングサイト（偽サイト）は確認されていたが、主な目的は個人情報の転売と見られていた。しかし、今回は口座乗っ取りで特定の個別株を大量に購入する新たな

[OkadaHiroshi]

URLを見にくくした、全ての改悪が良くない。更に言うと、JPNIC と金融庁が協力して、正規の金融機関のみが例えば .fn.jp で終わるドメインを取得できるようにすべき。

[gomisute44]

2段階認証突破のやり口が超シンプルで笑える（笑えない）。2段階認証が普及してからかなりの年数が経つけど、よく今までこんな単純な穴が長年問題なく続いていたなーと思えるレベル。

[NOV1975]

少なくともここで提示されている話は「何を今更」の話で、今問題なのはそうじゃない手法があるらしい、ということくらいは書いたらどうかね？

[JULY]

パスキーなら、本物のサーバを乗っ取るか DNS を詐称しない限り通らないので、現時点ではパスキーが解決策だと思うけど、デバイスの紛失や故障時のリカバリーをどうするか、という辺りがなぁ。

[ockeghem]

例示ではSMSになっていますが、TOTPのスマホアプリやハードウェアトークンでも突破できるので、フィッシングに強い認証方式が普及してほしいですね

[sgo2]

単純に考えると要はなりすましなので対策手段は認証ではなく証明書では(恐らく一般人は専用アプリのみ使うのが手っ取り早い)/URLに応じ入力するPM狙う攻撃も既に https://gigazine.net/news/20231208-android-password-managers-leak-autospill/

[Kukri]

フィッシングサイトが中継できる情報は全てダメか。証明書も多要素も意味無し。経路を一直線往復に限定、経路記憶、TTL詐称させない新しいプロトコルが必要だ。ますます不便になりそう

[dp212]

結局メールかSNSだから何事もアプリを起点に操作したほうが良さそう。

[orgue]

変なメールを開いてそこからログイン操作してしまうと、いくら2段階認証を設定したりパスワードを変更したりしても無意味ということか

[prograti]

マイナンバーカードを使ったデジタル認証を導入するとかかな。金融系だと三菱 UFJ 銀行が導入済か https://services.digital.go.jp/auth-and-sign/

[Goldenduck]

2段階認証を後から必須にしたから余計に被害が拡大している。全部パスキーになれ

[gomakinakun]

セキュリティ対策を見直す必要性がますます高まりますね。 こうした事案に対して、具体的にどのような防御策が考えられるか、気になりますね。

[ryunosinfx]

此の期に及んでも尚、雨後の筍のごとくプロキシという概念がない方々が対フィッシングサイトのソリューションを堂々と出してくる姿には毎度涙を禁じ得ない…

[aox]

100段階くらいにすれば良いのでは

[luspha]

投資専用端末を用意すれば更に盤石 "①フィッシングサイトの流入経路であるSMSとメールに記載されたURLは基本的に開かない②本物の公式サイトをブックマークしておく③公式アプリからサイトにアクセスし..."

[ichinotani]

中間者攻撃ってやつだよね。もう２要素認証やってれば安全というわけではないのだな

[tal9]

力技でワロタ（ワロエナイ

[xtm77]

おバカな民はfishingに無防備すぎるサイト認証に多要素認証を導入しても防げないな、fishing対策に有効な方法、通信でDNSFやVPNF、メールでDMARC対策済サービスで対策可能で日経さん不安を煽る前に対策を何故書けない。

[kitaido0]

AIが不完全なのはこういう問題には何にも対応できないこと

[onionskin]

さっさとパスキーに対応してくれ

[rlight]

ポンチ絵の犯罪者の表情が実に楽しそうである

[vbcom]

結局日本のセキュリティーは薄々だったってことか。大手に全く対応できるエンジニアがいないよな。不正に大量購入なら相手方分かるはずなのになぜ対応しないんだ。やみバイトを大量に使ってて足切りされてるのか？

[uehaj]

まじか。パスコードを入れさせるところまで偽サイトに入れさせるのか。確かにこれなら二要素認証なんか意味ない。SMSだけでなくメールもOTP認証アプリも全部無意味じゃんか／OIDCかパスキー移行まったなし

[pixmap]

こういう攻撃に有効な認証はパスキーかFIDO認証。それ以前に、「正規のURL」であるかどうかをわかりやすく示せない今のWebの仕組みにも問題あるよなぁ。

[torigara1234]

あれ？無料アプリとかエロサイトから感染したウィルスって話じゃなかった？ トレーダーが今更こんなん引っかからんだろ

[cha49]

さっきヤフーショッピングの注文履歴見るときに生体認証したんだけど、注文履歴よりセキュリティおんぼろな証券口座ってやばない？

[nakag0711]

メールの電子署名今どうなってるんだっけ

[tomono-blog]

二段階認証はすでに死に体になっている。二要素認証でないとね、

[scorelessdraw]

この図、わかるけどわかりにくくない？

[magnitude99]

インターネット真理教信者の末路だ（笑）。

[tettekete37564]

フィッシングだったか。パスキー辺りなら回避できそうだから詳細仕様調べてない

[spark7]

フィッシングに掛かるやつは何しても掛かるわな。こういうニュースのおかげで詐欺側もセキュリティ対策装ったフィッシングメールが捗ってるのが皮肉よね。余計被害出てそう。

[buenoskun]

なら、テスタ氏はなんで口座乗っ取られたんだろうなとは思う。セキュリティソフト入れていた、二段階認証導入済みと言ってたと思う

[urtz]

なぜ各証券会社はパスキーを頑なに実装せず、セキュリティの低くて使いにくい独自アプリ認証に異常に拘るんだろう。その結果、被害が多数。パスキーも問題点はあるが

[yarumato]

“フィッシングサイトの流入経路はSMSかフィッシングメールの2つだ。URLをクリックすると本物そっくりのログイン画面。　対策：SMSとメールに記載されたURLは開かない”

[gui1]

くそあついのにパーカー着てて大変そう(´・ω・｀)

[sionsou]

デバイス依存のパスキーは端末が不良になった瞬間に根本問題として何も出来なくなる危険性が辛い。

[ardarim]

要は古典的なMITMにも見えるけど…。確実に潰すならクライアント認証とかになっちゃうのかな。フィッシングに引っかからないようにすれば取りあえずは防げそうだが一般人リテラシーでは難しいのかな

[snare_micchan]

金融機関側の対策が「メールにリンクを載せない」（リンクがある≒フィッシング）になる公算が大。原始的だが効果はどれくらいあるかなあ／なおパスワード再発行が窓口受付になる公算も大…401k加入者サイトみたいに

[yuri2020exploit]

まだ勘違いしてる人がいるね。「楽天証券のランダムに出現するアイコンから…」形式も、公式サイトをリバースプロキシで偽サイトに出すだけ。対策にならない。evilginx調べれば、どれだけツール揃ってるか分かるよ