証券システム担当の SE が ID/PW を悪用して 2 億円着服

松井証券のシステムを担当していた CSCK の社員が顧客 15 人の ID やパスワードを利用して 2 億円を着服した件がニュースになっていたのでメモ。

松井証券と CSCK からそれぞれプレスリリースが出ていますが、CSCK の「当社元社員による不正行為について」についてよりも以下の、松井証券のプレスリリースの方が手口が明確に書いてあります。これによると、IDとパスワードだけでなく、本人確認書類等も不正取得できているように読めます。最近は本人確認書類は画像をスマホで撮影して送るだけで済むようになっていたりしますが、こういうのを見るとやはり PKI を使ってちゃんと認証するようにすべきですね。

業務委託先元従業員の逮捕について

本件は、当社の証券取引システムの開発・運用業務の委託先であるSCSK株式会社の元従業員1名が、2017年6月29日から2019年11月12日にかけて、業務上付与された権限を不正に使用し、当社の複数のお客様の顧客ID、パスワード、取引暗証番号を不正に取得した後、当社のお客様になりすまして有価証券を売却し、その売却代金や、別途お預かりしていた現金を不正に取得していたという事案です。また、SCSK株式会社の元従業員は、本件を実行するにあたり、銀行に提出するための本人確認書類を偽造するなど、不正な手段を用いて、被害顧客と同姓同名の架空の銀行口座を開設したと考えられます。