パスワードを忘れた? アカウント作成
15240975 story
お金

松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円 65

ストーリー by nagazou
すぐバレるだろうに 部門より
ネット証券大手の松井証券の業務委託先企業の社員が、顧客のIDなどを不正に入手して勝手に有価証券の売却や現金の不正送金などを行ったとして3月24日に逮捕された。逮捕されたのは開発会社「SCSK」の社員相根浩二(42)で、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑がかけられている(松井証券リリース[PDF]SCSKリリース[PDF]NHKITmedia時事ドットコム日経新聞)。

松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。

SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。
  • いろいろヤバくね? (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2021年03月25日 13時36分 (#4000793)

    管理者権限があればIDが見れるのは普通だが、パスワードや暗証番号を見れるのは駄目だろ。
    復号可能なシステムにしてたことにも責任がある(それもSCSKなのかもだが)

    ここに返信
    • by Anonymous Coward on 2021年03月25日 14時02分 (#4000818)

      今オレが使ってるネット証券会社なんか、パスワードリセットすると
      「登録時の」パスワードにリセットして郵送してくれたし
      もちろん二要素認証なんか対応してないんだぜぇ
      日本の証券会社を舐めてもらっちゃ困ります

      • そんなネット証券会社を使い続けてるアナタの頭がヤバい。

      • by Anonymous Coward on 2021年03月25日 16時54分 (#4000967)

        2020年9月に発表されたSBI証券や岡三オンライン証券で顧客口座から
        資金が流出した不正アクセス事件の時に松井証券も調査して今回の不正に
        気づいて警察に相談してたんじゃないかと思ってしまう。
        松井証券は先日までパスワードの長さが8文字までで文字の種類は英字のみだった。
        この制約が先週末のメンテで改善されたと思ったら今回の発表。
        被害にあったのは15名かもしれないけど、ユーザID,ログインパスワード,
        取引パスワードは全部漏洩してるんじゃないだろうか。

      • by Anonymous Coward

        証券会社に限らずあるある。
        ユーザーのパスワード運用には無茶苦茶厳しい癖に、何かあると「初期パスワードを使ってください」って所。

    • by Anonymous Coward

      ハッシュ化の鍵を設定するのも管理者だろうから、ブルートフォースや辞書攻撃でハッシュ作って一致したトコを探したのかもしれん。
      これだと復号せずにパスワードや暗証番号が手に入る。

    • by Anonymous Coward

      そんな機密情報を外部の人間がアクセスできるってのがやばいと思うが。
      てか、どの企業も「委託」が多すぎじゃない?自分とこで人材もてよ。

      • by Anonymous Coward

        不正を許すような組織なら今度は自社で抱えたIT要員が不正を働くだろうから委託かどうかというのはあまり重要じゃない。

        委託も含めて不正が発覚した場合どうなるかを繰り返し教育することと
        日常の本番データに接する際のログを事細かに取って少しでも怪しい振る舞いをした人間をパージすることが大切だと思う。

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      パスワードが盗まれたと言えば、平文で盗まれたとしか考えられない低レベルはいい加減セキュリティの話に首を突っ込むのを止めろ。

      • by Anonymous Coward on 2021年03月25日 16時05分 (#4000923)

        いや、これ単なるシステム管理者じゃなく、システム開発者でしょ?
        「松井証券様のシステム開発等に専任で従事していた当該元社員」ってSCSKの開示情報にあるんだし。
        元から不正を行うつもりだったのなら、「ハッシュ化する」と偽って、平文もしくは復号可能な暗号文で保存していた可能性もあるんじゃないかな。

        • by Anonymous Coward

          まあ、最もお手軽な書き出し先候補はログですね。しれっとログイン時の入力情報を吐いておく。
          安易に見られないように暗号化したとでも言っておけば、パスワードが混ざってても気付かれにくいですね。

        • by Anonymous Coward

          元コメはそういう手口でパスワードを抜かれたのではなくて、
          貧弱な妄想で平文あるいは復号可能でDBに保存してあるシステムがダメだと言ってるのでは?

          • by Anonymous Coward

            そんなコード混入できるとしたら、平文でパスワード保存してるよらヤバくね?

            • by Anonymous Coward

              ヤバいに決まってんだろwww開発者に明確な悪意があんだよwwww

      • by Anonymous Coward

        と言いたくなるが、とはいえそういう感想があるのも普通の事で、どちらかというとすば洞を付けるモデレータの方に違和感がある。

        • by Anonymous Coward

          このコメは、
          復号可能な形で保存したパスワードに
          システム管理者がアクセス可能だった、
          という想定でしょ。変なコメントじゃない。

          ただ、復号可能でないハッシュ値でも沢山入手すれば弱いパスワードは抜けるので、実際にどういう形で保存していたかは分からないかな。
          (既に公表されていたらすまぬ)

          • by Anonymous Coward

            想定だけならまだいいが、そんな無能の想定で批判までしちゃった上にすば洞なんて、ヤフコメ以下じゃん。

      • by Anonymous Coward

        ではどのように盗まれたと考えるのが高レベルなのでしょうか。

        ログに仕込んで~ってやつがいるが、それだと計画的、それも長期的な犯行なわけだけど、そっちのほうが無理がある。

    • by Anonymous Coward

      いきなりステーキのトピックによると、
      従業員の業務中の犯罪については企業は無限責任であり、
      賠償しても許されることのない永久責任であるとのことなので
      SCSKは即刻破産、会社解散して責任を取るべき。

      • by Anonymous Coward

        経済犯と自殺事件の区別つかない?

        # まあ勝手に決済したのなら本来客が得るはずだった損益を追加(もしくは減額)負担する必要があるので、賠償額は無限かもしれないが。

        • by Anonymous Coward

          法律の運用上は、経済犯の方が重罪とされます。
          知りませんか?

          • by Anonymous Coward

            そもそもこの手の横領は掃いて捨てるほどの大量の判例があるし

            • by Anonymous Coward

              判例は関係ないですよ。
              いきなりステーキのトピックで述べられているのは、
              社会正義の体現者である、善良な市民による社会的制裁の話です。

              善良な市民が考える社会正義として、ペッパーランチやSCSKは、雇用者責任として、無限、永久の責任を負うというものです。
              被害を弁償したから罪が消えるというものではなく、
              永久に謝罪と賠償を行わなければならないとする考え方です。

      • by Anonymous Coward

        無限責任っていうのは被害者の言い値で賠償するということではなく賠償金額に上限が無いってことだよ。
        対義語は有限責任でこれは自分の出資分を手放せばOK。

  • by Anonymous Coward on 2021年03月25日 13時15分 (#4000782)

    容疑者の名前で検索すると、報道されてる住所と合わせてmonstarmapのコピペサイトが出てくる。
    官報に破産者として載っていたんだと思う。

    松井証券とSCSKは被害分を肩代わりするしかないのかな。破産取り消しとかもあり得るのだろうか。

    ここに返信
    • 損害賠償金は破産免責の対象外じゃない?

      破産法 第253条
      免責許可の決定が確定したときは...破産債権について,その責任を免れる。ただし,次に掲げる請求権については,この限りでない。
      ...
      ② 破産者が悪意で加えた不法行為に基づく損害賠償請求権
      ...

    • by Anonymous Coward

      見つからん。

      2009年の九大院総理工の論文がヒットするな。年齢も一致してる。
      物性からSEかぁ。
      新卒なのか転職したのか…。
      なんかおれとダブるぜw

      • by Anonymous Coward

        MonstarMapのZIPファイルを検索したら、2013年11月や2014年6月のページに住所と名前が一致してるのが出てくる。
        今回の事件は破産終わって数年後から始まってるから、別件になるな。

    • by Anonymous Coward

      破産した結果犯罪に手を染めてるんじゃ?

      • by Anonymous Coward

        自己破産しても自身の収入<支出を改善できなかったんだろうな。
        2回目以降の自己破産は制限あるみたいだし、金が必要でそれで犯罪に走ったと推測する。

  • by Anonymous Coward on 2021年03月25日 13時26分 (#4000790)

    SCSKは、松井から言われるまで気づかなかったとな。

    ここに返信
    • by Anonymous Coward

      気づいていたとしたら流石に問題ありすぎる。

    • by Anonymous Coward

      年に何千回も売買してるデイトレーダー、またはスイング以上で細かい部分を見てない場合、客側も変な価格で決済されていても滑っただけだととして気づかないんじゃないの。
      全員がチャートと価格を秒単位で見て確認してるわけじゃないんだし(私は一応やってますが)
      こういう不正はもしかしたらたくさんあるのかも。

      • by Anonymous Coward
        勝手に出金されてたら、さすがに気づくんじゃない?
      • by Anonymous Coward

        板がスカスカの銘柄で、
        自分のアカウントで1000円で買います->1200円の売りで指します->盗んだアカウントで買いをぶつけます
        みたいな不正は見てみたい。気が付かないかもしれない。
        これは単に売って出金しただけだよね。さすがに出金されたら秒で気付く。

        そういや10万円ぐらい入ってる何年もログインすらしてない証券口座があったなw

      • by Anonymous Coward

        成り行き狙って少しづつ取っていけば見つからなかったんじゃないかな?
        システムエンジニアならできるだろ
        正確な約定値は翌日にしかわからんのだし

      • by Anonymous Coward

        年に何千回も売買してるデイトレーダー、またはスイング以上で細かい部分を見てない場合、客側も変な価格で決済されていても滑っただけだととして気づかないんじゃないの。
        全員がチャートと価格を秒単位で見て確認してるわけじゃないんだし(私は一応やってますが)
        こういう不正はもしかしたらたくさんあるのかも。

        今は知らんけど、米国だと証券会社によっては、現値と違う価格で約定するマークアップ/マークダウンと呼ばれるものがあった。米国には元々 市場集中義務 [kabu.com]は無く、証券自己(証券会社の自己売買部門と顧客が売買を行う事)が一般的だったので、こういうものが存在した。不正ではないんだが、不誠実だ

  • by Anonymous Coward on 2021年03月25日 13時39分 (#4000795)

    > 2017年6月29日から2019年11月12日の期間

    海外に高跳びする予定がコロナ禍で出国できなくなったんだろうか。
    のんびりしすぎですね。

    ここに返信
    • by Anonymous Coward

      客からの届出が2020年1月で、一年以上たって逮捕ですしね。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...