前澤友作さんがはじめたカブアンド、そのクレジットカードを申し込んでいましたが、届きました。
横型ではなく、縦型で右上に「K&」と書いてあります。
裏面にはカード番号、有効期限、セキュリティコード、氏名などが書かれています。表面は縦型ですが、裏面は横型です。
そして、
署名欄がありません!
これはクレジットカード業界が2025年4月から、サインによる本人認証を廃止し、PINに一本化したことによるものです。
さて、このカード、なんと、限度額が20万円でした。
こんな低い限度額は見たことなかったのでびっくりです。
JCBカードが初めてだったからでしょうか?
まあ、理由はともかく、これはこれで使い道があると気づきました。
悪用されても被害額が少なくなるわけです。
たとえば、
・特定のサイトではこのカードに決めて使う
・海外でカードを使う時
・大手のショッピングサイト以外でカードを使いたい時
・テーブル会計でカードを渡さざるを得ない時
などに利用価値がありそうです。
私は、カブアンドでのふるさと納税はこのカードで決済しようと思います。
テスタさん乗っ取り騒動は、テレビでも報道され、証券会社が一部補償へ、というニュースもありました。
2段階認証が機能していないのでは、など、証券会社側の問題点ばかりがクローズアップされていますが、今回の事件に関しては昨日のブログに書いた通り、証券会社側のミスや抜け穴ではないだろうというのが私の見解です。
では、証券会社側になんの問題もないのか、というとそんなことはなく、「証券会社のセキュリティは銀行より甘いのではないか」と私は思っています。
日本初のネット銀行のジャパンネットバンク銀行(現在のPayPay銀行)は物理トークンを発行していましたし、現在でも下記のようなカード型物理トークンを発行しています。
右下のON/OFFを押すと6桁のワンタイムパスワードが表示され、振込の際などこの6桁を入力しないと振込が実行されません。
PayPay銀行の他にも、三菱UFJ銀行などメガバンク、ネット銀行では住信SBIネット銀行など多くが利用しています。
それに対して、証券会社では、過去に利用していた会社もあるようなのですが、現在、物理トークンを発行している会社は、私が調べた限りありません。アプリやデバイス認証になっています。アプリやデバイス認証になっていればいいじゃないか、と思われるかもしれませんが、メールで変更や再発行が可能な会社が多いのです。昨日のブログでも指摘しましたが、「メールも漏れてたらアウト」です。
その点、「物理トークン」は盗まれない限り安心です。
ネット証券の口座乗っ取りが話題になった数ヶ月前、まずはじめに私が思ったことは、「証券口座乗っ取っていいことあるの?出金先は本人名義口座のみだし、犯人は何をしたいんだろう?」です。
この、「証券口座を乗っ取っても、現金化はしづらいから大丈夫」という考えを証券会社の経営陣も持っていたのではないでしょうか?
また、証券会社は手数料商売です。
お客さんは買いたい時に、すぐに買いたい、売りたい時に、すぐに売りたいわけです。二段階認証で手間取っていたら、せっかくのチャンスを逃す可能性もあります。二段階認証が面倒だからと、二段階認証のない別の証券会社に口座を移されてしまう可能性もあります。
そういう事情から、セキュリティ面において、銀行よりは甘めになっていたのではないでしょうか?
昨日のニュース、証券会社が一部補償と聞いて驚いたのですが、楽天証券は2月11日に、SBI証券は4月21日に、それぞれ、乗っ取られても補償しない旨の約款変更を公表しています(下記がその内容)。
両証券会社とも今回報道された、一部補償する証券会社に入っていますので、補償しない方向性からの急転換です。
第10条(ログイン情報の管理)
3 項 当社が発行するユーザID・パスワード、ならびにお客様が入力した認証コード等が正しく照合されたうえで行われた取引について、**当社は損害賠償その他一切の責任を負いません。**ただし当社の故意または重過失がある場合を除きます。
4 項 二要素認証その他当社が推奨するセキュリティ設定を行わなかったことに起因する損害についても同様とします。 楽天証券
第14条(ID・パスワード等の管理責任)
3 項 ユーザーネーム・パスワード・ワンタイムパスワードその他当社が認める認証方式による照合が完了した取引はお客様ご自身の取引とみなし、当社は損失を補償いたしません。
4 項 前項の規定にかかわらず、当社の故意又は重過失が認められる場合を除きます。 SBI証券
では、実際にどういう補償になるのでしょう?結構難しいと思います。
今回の乗っ取り犯がやったことは、およそ下記のような流れのようです。
1 乗っ取った証券口座で持っている株式を売却して現金残高を増やす
2 特定の株式を大量購入して値を釣り上げる
3 値が上がった株式を、犯人の口座で売却
つまり、2で買う「特定の株式」とは犯人が持っている株式です。
この場合の、金銭的損失について考えます。
簡単のため、一般口座でA社株100万円分の口座が乗っ取られ、全株売却され、B社株100万円となったとします。証券会社の手数料もゼロとします。
上のスキームだと、元々、安い株を無理に買い上げるのですから、B社株100万円分は、すぐに値下がりする可能性が高いです。
B社株が90万円になってしまったとしたら、10万円損失が出たように見えますが、その時、A社株も下がっていたら、損失は10万円より少なくなり、A社株がもっと下がって、80万円になっていたら逆に10万円の利益になります。
逆にB社株が上がっていたら?
考え出すときりがないですね。
ダークウェブにさまざまなデータやパスワードが流出している現在、ダークウェブに流出できないリアルなモノ(たとえば物理トークン)の価値が再認識されそうです。
固定IPアドレスを提供している当社としては、IPアドレス制限すればいいのに、と思いますが、設定が専門的すぎると思われているのか、ほとんど導入がないのが残念です。実は楽天銀行にはIP制限がありますが、楽天証券にはありませんし、他の証券会社でも見当たりません。
X(旧Twitter)で投資情報を発信する個人投資家 テスタ さん(累計投資益100億円超)が、2025年4月30日夜~5月1日朝にかけて 楽天証券口座を不正アクセスされた と報告しました。
本人の投稿によれば「乗っ取られました。証券会社は楽天証券です」 (テスタ on X: “朝一2段階認証の確認メールがきて 誰かログイン試み …)。ニュースサイトでも直ちに取り上げられ、ネット証券のセキュリティを巡り大きな話題になっています。Rocket Boys
| 日時 (推定) | 犯人の行動(推測) | なぜ気づかなかったか(推測) |
|---|---|---|
| 4/30 夜 |
楽天証券にログイン→二段階認証メール発行 | 犯人がテスタさんのメールにもアクセスし、認証メールを開封・削除 |
| 同夜 | 株を売買し、約定通知メールも削除 | ログインしない限り、わからない |
| 5/1 早朝 |
再びログイン→二段階認証メール発行 | 今回は犯人の認証メール削除前に本人がメールを発見し被害判明 |
私の推測は 「証券口座のID・パスワードだけでなくメールアカウントまで突破されていた」 のではないか?ということ。二段階認証メールを犯人が読める状態では、追加認証は事実上機能しません。
二段階認証は 「別チャネルで本人確認」 する仕組み。ところが今回のように メール が乗っ取られると無力化 されることが多くあります。
対策は「攻撃者が同時に奪えない別チャネル」を選ぶこと。
皆さんも今日から早速、パスワード管理と二段階認証の見直し、メールアカウントのログイン履歴チェックを始めてみてください。