こんにちは、穂苅と申します。
前回は、サポート詐欺をテーマにしてIPAの「サポート詐欺レポート」を見ながらその実態と対処法について取り上げてきました。興味がある方はぜひご覧ください。今回は、海外のFX業者で起こった不正ログインと資金流出の例を見ながら、なぜこういった問題が発生してしまうのかと、被害を防ぐ根本的な対策について考えていきたいと思います。
2024年8月に発生した、Exnessで不正ログインによる資金流出被害とは?
2024年8月、 海外の大手FXブローカーであるExnessを利用しているトレーダーのアカウントが何者かによって不正ログインをされ、資金が盗まれるという大きな事件が発生しました。
詳細を見てみると、このExnessへの不正ログインによってbitwalletのアカウント情報が盗まれ、そのbitwalletから当人ではない別のExnessアカウントに送金がされてしまったというものです。bitwaletは、FXをやっている方は身近かもしれませんが、Bitwallet Service Groupが提供しているオンラインウォレットサービスです。複数のFX業者に口座を持っている人でも資金を1つにまとめられることが大きな特徴で、入出金手数料も安いということで日本でも多くのユーザーがいます。
攻撃者は、最初Exness の口座から直接資産を盗もうとしてログイン情報に手を出したのですが、Exnessのセキュリティによって防がれました。そこで、bitwalletに標的を変えたことで資金を盗むことに成功しました。
被害に遭ったユーザーは、当然補償を求めるのですが、Exness、bitwalletともに補償の対応には応じない方針のようです。今後同じような被害が出ないとも限らず、日本人ユーザーも多いため、今後も影響が大きくなる可能性もあります。
意外とできていない根本的な不正ログイン対策
この出来事の後にbitwalletはフィッシング詐欺に対する警告を発表しており、それは以下のような内容です。
・ログイン情報を入力する前に、正しいURLかを確認すること
・メールも同様に、送信元メールアドレスなど不自然なところが無いかを確認すること
・パスワードは6ヶ月毎に更新し、2段階認証を導入すること
・ウイルス対策ソフトが最新版で十分に稼働しているのかを確認すること
・怪しいと思ったメールやWebサイトがあればbitwalletまで連絡すること
普段ユーザーとして利用するサービスも、提供者側としてのサービスもどちらの立場でもこれらが十分に運用されているかは今一度確認してみるのが良いでしょう。
また、これらはどれも重要なのですが、実はフィッシング対策として2段階認証やパスワードの定期的な更新は効果が限定的と言われています。そのため、パスワード管理ツールを使う方が効果的です。
セキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
このようなWebセキュリティに関する問題は、今後も多様化し、増えていくことが予想されます。セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
Webセキュリティ関連の知識について、詳しくなるためには徳丸本を学ぶとよいです。徳丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験 ( 徳丸基礎試験)
