_ドコモ口座事件を契機に、銀行口座からの不正引き出しが次々発覚しておりますけれども、SBI証券の件は愕然としましたな。SBI証券に口座に不正ログインした第三者が勝手に株式を売却し得た資金を、その証券口座の持ち主と同じ名義で作った銀行のニセ口座 に送金し引き出した、という様相です。この犯罪を成功させるには、被害者をAさんとして
- SBI証券におけるAさんのユーザーネーム、ログインパスワード、取引パスワード
- Aさんの名義で銀行に口座を新設し得るだけのAさんの個人情報
_の二つが必要なわけですが…前者の情報により後者の情報を参照することは出来るので、トリガーはやはり前者の情報がどこからか漏れた、あるいは窃取されたこと、になるのでしょう。
_さて、そうなるとその漏れ口を塞いでいかねばなりません。そこで筆者がリスクであると思いますのがアカウントアグリゲーションサービス(AAS)です。
_前回の記事で銀行とAASとのセキュリティ確保について述べましたが、実はAASのAPI接続化というのはあくまで銀行だけが対象であって、証券会社やクレジットカード、何とかPay、電子マネー等には全く及んでいないのです。つまり、PFM事業者がユーザーのIDとパスワードを保持し、サイトへのログインを代行するという構図は変わっていません。
_そしてその中で、資産額の面で最も危険なのが証券会社ですね。もちろん、証券会社はログインパスワードの他に取引パスワードを設けて、顧客の資産に直結する操作にはセキュリティレベルを上げているわけですが… IDとパスワードまで漏れていれば、取引パスワードを窃取するまであと一歩なのですから破られるのは時間の問題です。対策としては、ユーザーが可能な限り長くランダムなパスワードを設定して、頻繁に更新するしかない…
_そういうわけで、銀行APIの次は証券API、そしてクレジットAPI、電子マネーAPIの順に、AASを安全に活用できる道筋をつけることが必要でしょう。特に証券会社のサイトは、保有している銘柄の時価や評価損益など銀行以上に多くの情報を表示するためスクレイピングでの情報抽出は困難であり、API化は非常に有用・有益です。
_今回のような不正引き出しは、完全撲滅がおそらく困難であり、早期発見・早期対処(例えば資金が流出した先の銀行口座を迅速に凍結するなど)が肝要で、AASによって自分の口座の残高の変動をモニタリングするしかありません。しかし、そのためにAASにリスキーな情報を預けるというのもナンセンスな話でしょう。そういう状況を一刻も早く解消すべく、証券業界の行動が望まれるところです。
0 件のコメント:
コメントを投稿