松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円 65
ストーリー by nagazou
すぐバレるだろうに 部門より
すぐバレるだろうに 部門より
ネット証券大手の松井証券の業務委託先企業の社員が、顧客のIDなどを不正に入手して勝手に有価証券の売却や現金の不正送金などを行ったとして3月24日に逮捕された。逮捕されたのは開発会社「SCSK」の社員相根浩二(42)で、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑がかけられている(松井証券リリース[PDF]、SCSKリリース[PDF]、NHK、ITmedia、時事ドットコム、日経新聞)。
松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。
SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。
松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。
SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。
いろいろヤバくね? (スコア:4, すばらしい洞察)
管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。
復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)
Re:いろいろヤバくね? (スコア:3, 興味深い)
今オレが使ってるネット証券会社なんか、パスワードリセットすると
「登録時の」パスワードにリセットして郵送してくれたし
もちろん二要素認証なんか対応してないんだぜぇ
日本の証券会社を舐めてもらっちゃ困ります
Re:いろいろヤバくね? (スコア:2)
そんなネット証券会社を使い続けてるアナタの頭がヤバい。
Re:いろいろヤバくね? (スコア:1)
2020年9月に発表されたSBI証券や岡三オンライン証券で顧客口座から
資金が流出した不正アクセス事件の時に松井証券も調査して今回の不正に
気づいて警察に相談してたんじゃないかと思ってしまう。
松井証券は先日までパスワードの長さが8文字までで文字の種類は英字のみだった。
この制約が先週末のメンテで改善されたと思ったら今回の発表。
被害にあったのは15名かもしれないけど、ユーザID,ログインパスワード,
取引パスワードは全部漏洩してるんじゃないだろうか。
Re: (スコア:0)
証券会社に限らずあるある。
ユーザーのパスワード運用には無茶苦茶厳しい癖に、何かあると「初期パスワードを使ってください」って所。
Re: (スコア:0)
ハッシュ化の鍵を設定するのも管理者だろうから、ブルートフォースや辞書攻撃でハッシュ作って一致したトコを探したのかもしれん。
これだと復号せずにパスワードや暗証番号が手に入る。
Re: (スコア:0)
そんな機密情報を外部の人間がアクセスできるってのがやばいと思うが。
てか、どの企業も「委託」が多すぎじゃない?自分とこで人材もてよ。
Re: (スコア:0)
不正を許すような組織なら今度は自社で抱えたIT要員が不正を働くだろうから委託かどうかというのはあまり重要じゃない。
委託も含めて不正が発覚した場合どうなるかを繰り返し教育することと
日常の本番データに接する際のログを事細かに取って少しでも怪しい振る舞いをした人間をパージすることが大切だと思う。
Re:いろいろヤバくね? (スコア:1)
Re: (スコア:0, 興味深い)
パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。
Re:いろいろヤバくね? (スコア:1)
いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?
「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。
元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。
Re: (スコア:0)
まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。
安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。
Re: (スコア:0)
元コメはそういう手口でパスワードを抜かれたのではなくて、
貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?
Re: (スコア:0)
そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?
Re: (スコア:0)
ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww
Re: (スコア:0)
と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。
Re: (スコア:0)
このコメは、
復号可能な形で保存したパスワードに
システム管理者がアクセス可能だった、
という想定でしょ。変なコメントじゃない。
ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。
(既に公表されていたらすまぬ)
Re: (スコア:0)
想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。
Re: (スコア:0)
ではどのように盗まれたと考えるのが高レベルなのでしょうか。
ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。
Re: (スコア:0)
いきなりステーキのトピックによると、
従業員の業務中の犯罪については企業は無限責任であり、
賠償しても許されることのない永久責任であるとのことなので
SCSKは即刻破産、会社解散して責任を取るべき。
Re: (スコア:0)
経済犯と自殺事件の区別つかない?
# まあ勝手に決済したのなら本来客が得るはずだった損益を追加(もしくは減額)負担する必要があるので、賠償額は無限かもしれないが。
Re: (スコア:0)
法律の運用上は、経済犯の方が重罪とされます。
知りませんか?
Re: (スコア:0)
そもそもこの手の横領は掃いて捨てるほどの大量の判例があるし
Re: (スコア:0)
判例は関係ないですよ。
いきなりステーキのトピックで述べられているのは、
社会正義の体現者である、善良な市民による社会的制裁の話です。
善良な市民が考える社会正義として、ペッパーランチやSCSKは、雇用者責任として、無限、永久の責任を負うというものです。
被害を弁償したから罪が消えるというものではなく、
永久に謝罪と賠償を行わなければならないとする考え方です。
Re: (スコア:0)
韓国はもういいです
Re: (スコア:0)
無限責任っていうのは被害者の言い値で賠償するということではなく賠償金額に上限が無いってことだよ。
対義語は有限責任でこれは自分の出資分を手放せばOK。
Re: (スコア:0)
ああお詫びのしるしに松井証券を買ってCSK証券にするってか。。。
それ全員がハッピーな結末なんでは?
Re: (スコア:0)
> 住友商事グループで売り上げが4000億円もある
住友商事の売上高は2020年3月期の単独で約2兆円、連結で約5兆円だ。4000億円とは、「まあ、随分と軽く見られたもんだな」って言うんじゃない?住友商事はさ。
> なんなら売り上げ250億円の松井証券を丸ごと買って詫びることもやぶさかではない。
企業買収の値決めに対して、その会社の売上高は副次的な意味しか持たない。というか、参考程度の意味しかない。やはり本筋は利益、それも純利益ね。
松井証券のここ3四半期の純利益は約153億円、通期換算だと約204億円。この会社
Re: (スコア:0)
普通に読んだら売り上げが4000億円なのはSCSKだってわかるだろうに…
https://www.scsk.jp/ir/library/briefing/pdf/scsk/20200428_financial_re... [www.scsk.jp]
2019年で387G¥
Re: (スコア:0)
> 普通に読んだら売り上げが4000億円なのはSCSKだってわかるだろうに…
おう。SCSKの売上が連結で約4000億円ね。了解。だが、売上を言う場合には連結を使わずに、普通は単独を使うんだよ。持分の補正を行わないケースが多いので、連結売上は大幅な水増しとなる可能性があるのが使わない理由。常識ハズレの記述だったので、誤読しちゃったよ。
で、SCSK。純利益は?約300億円しかないじゃん。そんな規模しかない会社が、松井証券を買う?住友商事が買うより無理無理じゃん。(笑)「なんなら売り上げ250億円の松井証券を丸ごと買って詫びることもやぶさかではない」って、考えるだけでも愚かしいよ。
Re: (スコア:0)
> 素直に間違い認められずにマウントとることしか考えてないマン
重箱の隅をせせって、楽しいかね?
些細な間違いを指摘したら、素人っぽい言い方をしてたのがバレて、更に松井証券買収が更に非現実的になったという、恥ずかしいおまけ付き。
ご苦労様。
Re: (スコア:0)
> プレミアム300~400%のあまり聞いたことないTOBになるが、お詫びならそのぐらいは当然ってか。
> 1兆円と言えばLINEの買収額だ。妥当な価格は頑張ってもZOZOの4000億円ぐらいじゃないか。純利益は松井の倍近くあったがな。
一兆だろうが4000億だろうが、どっちにしろ、SCSKが払える様な額じゃないな。
日立金属は、20年3月期は赤字だが、19年3月期は約300億の純利益。デューデリの最中ではあるが、持分50%程度の売却で予定価格は7000億だそうだ。100%なら1.4兆だな。これも高いとか言い出すのかな?KKRが失笑しそうだぞ?
zozoは実質ボロ会社だからなあ。よく買い手があったもんだよ。ハゲ社長に感謝しないとな。
Re: (スコア:0)
ZOZOは救済買収、対して松井は救済して貰う必要なんか無いし、ウケに入ってる会社だしな。
なら、ZOZOはディスカウントされるし、松井はプレミアムがつく。
それを同列に並べるとは、なんたるシロウト。
シロウトが鉄火場にいれば、巻き添えを食うよ。
どっかにすっこんでたほうが良くねえか。
Re: (スコア:0)
それが400%のアホみたいなプレミアの見解か?
つか松井の倍の利益を出してる会社の何を救済するんだカス。
LINEと同額の買収額の見解もシロウトに教えてくれや。
ZOZOの買収って持分50%の買収じゃん。
買収時の利益って160億で松井より少ないし。
どこが松井の倍なんだ?
そんなもんが4000億なら松井が1兆でもお買い得じゃね?
Re: (スコア:0)
住商エレクトレードという黒歴史があるので、買収すらしたくないと思う・・・
この容疑者、自己破産してる模様 (スコア:1)
容疑者の名前で検索すると、報道されてる住所と合わせてmonstarmapのコピペサイトが出てくる。
官報に破産者として載っていたんだと思う。
松井証券とSCSKは被害分を肩代わりするしかないのかな。破産取り消しとかもあり得るのだろうか。
Re:この容疑者、自己破産してる模様 (スコア:1)
損害賠償金は破産免責の対象外じゃない?
Re: (スコア:0)
見つからん。
2009年の九大院総理工の論文がヒットするな。年齢も一致してる。
物性からSEかぁ。
新卒なのか転職したのか…。
なんかおれとダブるぜw
Re: (スコア:0)
MonstarMapのZIPファイルを検索したら、2013年11月や2014年6月のページに住所と名前が一致してるのが出てくる。
今回の事件は破産終わって数年後から始まってるから、別件になるな。
Re: (スコア:0)
破産した結果犯罪に手を染めてるんじゃ?
Re: (スコア:0)
自己破産しても自身の収入<支出を改善できなかったんだろうな。
2回目以降の自己破産は制限あるみたいだし、金が必要でそれで犯罪に走ったと推測する。
SCSKは (スコア:0)
SCSKは、松井から言われるまで気づかなかったとな。
Re: (スコア:0)
気づいていたとしたら流石に問題ありすぎる。
Re: (スコア:0)
年に何千回も売買してるデイトレーダー、またはスイング以上で細かい部分を見てない場合、客側も変な価格で決済されていても滑っただけだととして気づかないんじゃないの。
全員がチャートと価格を秒単位で見て確認してるわけじゃないんだし(私は一応やってますが)
こういう不正はもしかしたらたくさんあるのかも。
Re: (スコア:0)
Re: (スコア:0)
板がスカスカの銘柄で、
自分のアカウントで1000円で買います->1200円の売りで指します->盗んだアカウントで買いをぶつけます
みたいな不正は見てみたい。気が付かないかもしれない。
これは単に売って出金しただけだよね。さすがに出金されたら秒で気付く。
そういや10万円ぐらい入ってる何年もログインすらしてない証券口座があったなw
Re: (スコア:0)
成り行き狙って少しづつ取っていけば見つからなかったんじゃないかな?
システムエンジニアならできるだろ
正確な約定値は翌日にしかわからんのだし
Re: (スコア:0)
年に何千回も売買してるデイトレーダー、またはスイング以上で細かい部分を見てない場合、客側も変な価格で決済されていても滑っただけだととして気づかないんじゃないの。
全員がチャートと価格を秒単位で見て確認してるわけじゃないんだし(私は一応やってますが)
こういう不正はもしかしたらたくさんあるのかも。
今は知らんけど、米国だと証券会社によっては、現値と違う価格で約定するマークアップ/マークダウンと呼ばれるものがあった。米国には元々 市場集中義務 [kabu.com]は無く、証券自己(証券会社の自己売買部門と顧客が売買を行う事)が一般的だったので、こういうものが存在した。不正ではないんだが、不誠実だ
コロナの犠牲者 (スコア:0)
> 2017年6月29日から2019年11月12日の期間
海外に高跳びする予定がコロナ禍で出国できなくなったんだろうか。
のんびりしすぎですね。
Re: (スコア:0)
客からの届出が2020年1月で、一年以上たって逮捕ですしね。