この間の勉強会の音声データをアップしようと思ったのですが、結構いらんこと喋ってますので、文章にまとめました。
今回の一連の証券会社の不正アクセスに対する防御を自分なりにまとめてみました。
(1):まずこれはインターネットを使う上で絶対に守ることとして
フィッシング詐欺に遭わないようにする。つまりメール、SMSに送られてきたリンクはクリックしない。必ずブックマークや検索サイトから該当のアクセス先にあくせすすること。
もうこれは鬼の鉄則にするべし。
大半の被害は古典的だけどほとんどがフィッシング詐欺にやられている。
つまり、ターゲット自身の手で、自分のユーザーID、パスワード、クレジットカード番号、住所氏名を結果的に入力しているのだ。
今は、AIでメールの文章が作られているので、すばらしく自然な日本語でフィッシングメールが来るので、2,3年前のように、「ちょっと変な日本語だなあ」と言う判断は不可能。
今までは日本語の難しさがセキュリティーを高めていたけど、もうAIのおかげで言語の壁はなくなった。
「俺様は、メールの本文を見て判断してやる」という考えは捨てること。「判断する」ということはやめて、メールやSMSのリンクは、100%信用しないということでやらないとひどい目にあう。
パソコン歴が長くて、ネットは得意だと思っている人は、「おれは絶対に大丈夫」と思っていることだろう。わたくしも実はそのように思っている。
ここに、YouTubeにあった、「まさか自分が、フィッシングさぎにあうなんて」という、体験動画が2本あったのでリンクを貼っておく。
どちらの方も、ネットには精通されている。「まさかこの人たちが?」と思ってしまう人たちだ。
動画の中でもおっしゃっているが、普段はまさか自分がと思っている、でも、だまされてしまうときは、その時の自分の体調だとか、精神状態、そのほか最近の自分を取り巻く生活環境などの状態が「バッチリ」あってしまうとまんまとひかかってしまう。魔がさしたというか、本当にタイミングの問題なのだ。
フィッシング詐欺にあいました 注意喚起:Amazonになりすましたフィッシングメールに引っ掛かり、26万使われました
ちなみに、SBI証券ではリンク付きのメールは送らないことになったようです。
(2):次に無料WI-FIを使わないこと。
少なくても無料WI-FIでは証券会社、銀行など重要なところにはアクセスしないこと。IDパスワードが簡単にのぞき見られる。 「SSLだから大丈夫」と言う人はごかってに。
(3):IDパスワードの使い回しを絶対にしないこと。
使い回ししていると、リスト形アタックで次々にやられる。
「アマゾンでこのパスワードとIDで行けたから、こっちでも行けるか試してみよう」ということで、パスワードなどが同じならば次々とやられるという言ことです。
パスワードは12文字以上にして、かならず大文字小文字を混ぜ、数字、記号も使うこと。
8文字程度のそれも数字アルファベットの小文字ぐらいだったら、30秒ぐらいで破られる。
私は、パスワードは、ネットに繋がってない点字データとして管理しているけど、今後はパスワード管理ツールを使う予定。
「私は点字が読めないけど」と言う人は、ICレコーダーなどにゆっくりとパスワードなどを録音しておくと言う事が考えられる。
またはこれがいちばんよいのだが、パスワードマネージャーを使う。
例えば、iPhoneだったらPasswordアプリがこれにあたる。
このようなパスワードマネージャーアプリは、基本的にはID、パスワードを自動的に入力してくれる。
そして、正しいURLでないと自動的にはID、パスワードは入力しない。
なので、フィッシング詐欺にはかかりにくいようになっている。
もちろん、IDやパスワード情報のファイルは、しっかりした金庫に入っているということで、安心してよい。
この金庫を開けるとき、つまりID、パスワードを入力するときは、指紋認証や顔認証、またはパスコードを入力することで金庫のドアを開けるというイメージである。
これだと、いちいちパスワードを覚えて手入力ということではないので、点字が読めなくてもメモに頼らなくてもよい。
というか、このようなパスワードマネージャーアプリを使うようにしなければならない。
ネットに繋がっているパソコンのエディタやワードでは保存しないのがよい。
よくIDとパスワードをパソコンの辞書に、辞書登録しているひといるけど、あれだって、暗号化してあるからと言って、ほとんど意味がないので、平文で保存してあるのと大して変わらない。
ウイルスなどで簡単に抜き取られるおそれ有り。
これらが現在のインターネットを使うための常識にしないとだめな時代になっている。
そもそも、すでに、IDとパスワードの認証という方法はは機能してない。もういい加減に、「パスキー」を使わないとだめだよね。
もしかして皆さんの中には証券会社での話でしょ。と思っておられる人も多いかもしれないけど、アマゾンだって2段階認証破られていて、知らないうちにアマゾンギフトを買われている被害が続出です。
ほとんどの人のID、パスワードはダークウエブに流れていると思ったほうがよいです。
自分の情報がダークウエブに流れているか同課は、グーグルで調べることができます。「グーグルダークウエブレポート」というんだっけ、まあそのへんは検索して調べてください。
これは、昔は優良だったんだけど、今は無料で、自分のメールアドレス、パスワード、指名、住所などがダークウエブにあるか調べられます。
実際、何件かわたくしのパスワード、メルアドも案の定流れていましたので変更しました。
(4):それから、「そこまでしなくても」と思われるかもしれないが、なるべく証券や銀行にアクセスするパソコンは別に用意すること。
もちろんそのパソコンはその用途にしか使わないこと。
いわゆるWindowsパソコンより、アンドロイドよりはiPhoneやiPadの方がウイルスにかかる可能性が低いので、専用機はiPhoneかiPadがのぞましい。
Windows PCは自由度が高いのでなんでもかんでも簡単にインストールができるのであぶない。
つまり、簡単にウイルスもインストールされちゃうということ。
アンドロイドも、グーグルプレイ以外からも、自由にアプリのインストールができるのでウイルスにかかりやすい。
iPhoneやiPadはAppleストアからしかインストールができないのでかなり安全だとわたくしは思う。
個人的には、iPhone・iPadではほぼ100%ウイルスの心配はしてない。
もちろん、脱獄しているとか、TestFlight、MDMの場合はありえるかもしれないけど、まあ一般的な話ではないので。
脱獄とは、アップル社の支配から抜け出すということで言われている。
iPhoneやiPadのアプリなどは、公開する前にかならずアップルの審査を通過しなければならない。
そして、アップストアからでしかインストールができない。
つまり、この支配から抜け出して、アップストアー以外からも自由にアプリなどがインストールできるように改造したものを「脱獄」と言っている。
つまり簡単にウイルスもインストールできるということ。
テストフライトは、いわゆるいろいろなアプリなどを一般公開前にテストができるというやつ。
MDMとは、皆さんも、お寿司屋さんとかで、iPadなどで注文するのを見たことがあるだろう。
でも、あの注文するアプリは、アップストアにはないよね。
MDMとは、このようなお店などが、専用アプリをインストールできるようにしているシステムのこと。
今回の騒動は、大体はフィッシングメールのリンクから、ターゲットが自ら自分のユーザID、パスワードを、詐欺師に教えちゃったケースがほとんどなのかもしれないけど、 、インフォスティーラーウイルスがごっそりターゲットのPCから情報を抜き取っている可能性もある。でないと説明が付かない。セッションハイジャックはないのかもしれないけど、いずれにしても、Windows PCはウイルスにかかりやすい。
家族とパソコンを共有したりしていると、子どもがゲームをダウンロードしたり、私のように「ムフフなサイト」を見てしまうとイッパツでウイルスにかかる可能性が大きい。
それで情報が抜かれ、ダークウエーブ行きになる。
専用機まで買うのはと思われるかもしれないけど、資産をインターネットに置くからには、それほど大した金額ではないとわたくしは思っている。
へたにけちけちしてしまうと後でひどい目にある。これも資産を守る投資なのだ。
それから、ちょっと忘れがちなんだけど、ログインして使ったホームページは、かならず自分の手でログアウトするということも習慣にしておきたい。
わたくしも結構めんどくさがって、ALT+F4で終了させちゃうことが多いんだけど。
次に楽天証券とSBI証券でわたくしがやっていること
(1):「ログイン追加認証」は画像認証だけど、問題なくできるようになっている。ちゃんとALTタグで説明が付いているのでばっちり問題なくできる。
10個のイラスト、5個の数字、合計15個の画像が出てくる。
2個のイラスト、2個の数字の合計4種類を順番も考えて選ぶようになっている。
どのイラストや数字を選ぶかは登録メールアドレスに来る。
ただし、なんかふぐあいがあったようで、6月10日から2画像に戻っている。
(2):次に、「リスクベース認証」は、特にこれは私たちが設定をしなければならないものではないので特にすることはない
楽天証券のログイン追加認証、リスクベース認証は、すべてのチャネル、つまりWeb経由だろうがアプリ経由だろうがすべてに有効である。
リスクベース認証は、普段使っているパソコンや、場所などが違っていると電話での認証があるはずなのだが、ばちょが違っているのに、認証がなかったとか、パソコンやスマホを変更したのになにもなかったという報告も出ているので、当てにしてはだめだということ。
だからこそ、ログイン禁止とか、取引制限などを設けて、多要素にわたって守らないとだめである。
(3):次に、ログインがあったとき、そして約定があったときに、登録メールアドレスに通知がくるようにしておくこと。
(4):それから、フリーダイアル0120-852-638で24時間児童音声でログインの禁止、解除ができるのでこれもりようするとよい。
この電話からは、次の3種類が選べる。
(番号1):すべての取引を含めたログインの禁止
(番号2):投資信託の買い、積立以外の禁止、つまり定期的な積立は有効
(番号3):投資信託の売買、積立、出金以外は禁止
後の細かい禁止などは、たぶんオペレーターさんにお願いするのだと思います。
また、登録電話番号以外からは設定できないようになっている。
注意してほしいのは、この電話での設定がバージョンアップする前では、ログインのみ禁止、解除でした。
なので、すべての売買禁止に加えてログイン禁止の設定をするには、
まず最初に、あらかじめオペレーターさんに、「すべての売買を禁止をお願いした後で、電話でログイン禁止にする順番になっていた。
ですから、以前の電話でログイン禁止を解除しただけでは、まだ売買停止は有効になっていた。
ところが、新しいバージョンの電話での設定では、(番号1)の、「ログインを含めたすべての売買の禁止、解除」となっているので、電話で、解除してしまうと、売買禁止解除もされてしまう。
実際、この新しいバージョンの電話での設定の以前に、わたくしはオペレーターさんに「、「すべての売買禁止」をお願いしていた。
そこで、新しくなった電話設定で、(番号1)の、「ログイン禁止すべての売買禁止、解除」を選ぶと、当たり前だが、すべてが解除されてしまって、株の売買ができるようになってしまった。
なので、私のように、以前の電話設定の時に、「すべての売買停止」を設定していた方は、今回の新しい電話設定では、解除されてしまうので注意してほしい。
前のように、電話設定で、ログインのみが可能ということができたほうがよかったのだが。
なので、ログインして売買をした後は、電話設定を忘れないようにしてほしい。
それから、ログイン禁止にしたうえで、ユーザーID、パスワードでログインをすると、「ユーザーIDまたはパスワードが違います」と出るようになっている。
これはユーザーが、「ログイン禁止をしています」ということが、他の人に分からないようにしているのだ。
これは、改善されていたのでよかったと思う。
それから、やっぱりというか、案の定、ログイン追加認証が必須となったことでトラブルが起きているらしい。
楽天iGrowとかいうアプリがあるんだけど、これでログインしようとすると、無限ループに入ってしまってログインができないらしい。
これ絶対に、動作チェックまったくしてないよね。と思えるような感じです。
わたくしは関係ないけど、これはちょっとひどすぎる!というかお粗末すぎる!
各種変更は三つに分かれているのでゆっくりとやってください。
(1):「ホーム」(トップページ)などの中央の「セキュリティ設定」に行きます。
ここではログイン追加認証、SMSの設定ができる。
「メール認証/SMS認証の利用設定」と書かれているところです。
(2):次に、上の「セキュリティ設定」の中央に 「お客様情報一覧」に入ると、そこではぱすぁーど変更、暗証番号変更、メールアドレスや電話番号の変更などができる。
(3):次に、上の「セキュリティ設定」の中央に「メールサービス」というものがある。ここに入ると、ログインや約定があったときのメール通知設定ができる。
このようにいろいろと設定の場所が分かれているので、落ち着いてゆっくりと設定してほしい。
なぜかわからないけど、NetReaderでやっていると、カーソルキーを下げていって項目を読んで、逆にカーソルキーを上に持ってゆくと、項目をいくつかスキップしてしまうことがある。つまり、「あれさっき読んだものが見つからない」ということが結構ある。
次にSBI証券ですが、これもまあにたようなものです。
(1):「デバイス認証」の設定をすること。
これはSMSでパスワードが送られてくるので私たちには問題なくできる。
FIDO認証もできるのであればやっておくこと。
覚えていただきたいのは、「デバイス認証」はWeb経由でのアクセス専用、「FIDO」は各アプリ経由専用の認証である。
私はWEb経由からしかやるつもりはない。なので私は、Web経由でのアクセスのみで、アプリ経由とハイパーSBI2でのログインは総て禁止にしてもらっている。これはオペレーターにお願いしてやってもらわなければならない。
注意してほしいのは、「アプリからのログインを禁止にしてください」とお願いしても、パソコンで使う「ハイパーSBI2」は反映されない。なので、自分はWebからしかアクセスしないのであれば、「アプリ経由のログインと、ハイパーSBI2からの両方ともログインを禁止にしてください」とオペレーターにお願いしなければだめ。
こうしておけば、FIDOの守備範囲全体のブロックができる。なので、こうしておけば、デバイス認証だけでもよいとは思う。
でも念のため、FIDOの設定ができるひとはそれもやっておいたほうがよい。
というのは、約款で、「デバイス認証とFIDOをかならずやってください、でなければ、万が一の時には保証しません」みたいな書き方になっているので、できるのであればやっておいたほうがよい。
FIDOのやり方はそれほど難しくない。やり方は、後で書きます。
(2):SBIでも、ログインと約定があったときに、登録メールアドレス当てにメールが送られるように設定をすること。
(3):それから、SBIでは電話ではなく、Webからログインの禁止、解除ができる。
ただし、SBIのログイン禁止は、積み立ては有効。
SBIでも、ログイン禁止に設定した状態で、ログインをすると、「ユーザーIDまたはパスワードが違います」とでる。
これは、ユーザーがログインを禁止しているということを隠すためにわざとそうしている。
私は上野ログイン禁止に加えて売買禁止にもしている。 これはやはりオペレーターにおねがいする。 楽天のように、売りだけを禁止など、細かい設定ができるが、オペレーターにおねがいすること。
(4):それから、FIDOは、1アカウントにつきスマートフォンが1代必要なのですが、スマフォを持ってない人(例えば、ジュニアNISAの子どもとか年輩の方はそもそもFIDO認証ができない。
そのような人向けに、電話認証が6月から導入される。
これはログインの時に、登録電話から指定された番号に電話するというもの。
これは松井証券が導入している。
松井証券の場合は、ログインID、パスワードでログインする前に、登録電話番号から予め指定された番号にかける。2コールで電話が自動的に切れる。そしたら、通常のログインをする。
ですが、またまたやはりここでも重大なバグがあります。
6月三日現在、「ログイン一時停止」の設定をしてあるのにもかかわらず、なぜかこの電話番号認証の電話番号にかけると、「ログイン一時停止」が自動的に解除されてしまうらしい。
これもめちゃくちゃでしょ!!
なので、しばらく落ち着くまで、電話番号認証は使わない方がよいと思うけど、それはお任せします。
わたくしはログイン一時停止の方が、強いと思うのでログイン一時停止を使います。
これだけたびたびバグがあると、もうネット証券は使いたくないなあと真剣に思っています。
(5):それから話が前後してしまうのだけど、先ほど電話で、個別にいろいろと個別株の売りの禁止とか、全部売買停止などの細かい設定ができると言いました。
これを解除するときには、オペレーターに電話して直接お願いするのだけど、その時、電話するときは「登録電話番号からでないと受付できない」とか、その時に「合言葉」を登録できるということになっています。
ただ、登録電話以外からの申し込みは受け付けないということはオペレーターさんもやってくれるのだけど、「合言葉」の設定は、人によってはそのようなことができることを知らないオペレータさんもいらっしゃるし、「そこまでしなくてもいいのでは」とおっしゃる人もいる。
でもわたくしはそのようにしてもらっています。
楽天証券の場合は、設定解除の申し込みは同じくユーザーがオペレーターに電話してお願いするのだけど、その直後に、オペレーターが登録電話番号当てに、もう一度確認のコールバックがあることになっている。
「合言葉」はない。
SBI証券もごちゃごちゃいろいろ書いてあるので非常に分かりにくい。落ち着いてゆっくりやってほしい。
(1):デバイス認証の設定は、トップページの中央に「セキュリティ」があるのでそこに入る。
「デバイス認証・FIDO(スマホ認証)設定のお願い」に入る。
「デバイス認証の設定を行う」というリンクがあるのでここでやる。かなりページのまんなかに埋もれているので、いらいらせずに探してほしい。
(2):パスワードや取引パスワードの変更、メールや電話の変更などは、トップページの「お客さま情報 設定・変更」 でおこなう。
(3):ログインや約定などのメール通知の設定は、トップページの「Eメール通知サービス」でやる。
(4):ログインの禁止の設定は、トップページの「セキュリティ」に入る。「ログイン一時利用停止設定 / 解除」でやる。
というように、見てもらえば分かるが、SBIのページは非常に分かりにくくてイライラする。どうにかならないものか。
一般の人も「使いにくい」と言っている。
ここでも、書いたように、カーソルキーで読んでいるときに、項目が飛ぶことがあるので、行ったり戻ったりしてイラつかずに探してみてください。
ということで、NISAのようにほったらかしておくならばSBIでも楽天でもいいけど、毎日使うとなると、かなりめんどくさくて使いにくい証券会社だと思う。
ということで、普段は私は比較的分かりやすい松井証券を使っている。
今回思ったことは、「便利、スピード」ということを重視しすぎて、いろいろなアプリから証券会社を使えるようになっていて、結果セキュリティーの穴がたくさんあったのだと思う。
Webからしかアクセスしないからあまり知らなかったけど、本当にいろいろと専用アプリがある。あれだけあれば、開発側もわけわからなくなっているに違いない。無理もないことである。
たくさん入口があって、どこからでも証券会社のシステムに入れてしまう。
その証拠に、対策がいろいろと後手に回って、技術サイドもわけがわからなくなっているのだと思う。
それから証券会社に限らず、どのWebでも同じことだけど、本当に必要のないような項目や説明やら、広告やらですごく見にくい。
あれではセキュリティーの設定をしようと思っても、どこをクリックしてよいやら分からない。
だから、「なんかどこに書いてあるかわからんから、また後で設定しよう」ということにしちゃう人が出てくる。 そして結局やらないで忘れてしまうのだ。
それから、今回は本当にSNS特にYouTuberの皆さんが活躍してくれたと思う。
結局毎回、「YouTube」などのSNSで、「こうやったら簡単にログインできた」などの話題が出てから、セキュリティーの穴を埋めてゆくということばかりだった。
SBI証券が、バックアップサイトにログインするときには、ユーザーIDとパスワードだけでログインできてしまうことが判明して、なおかつデバイス認証などの2段階認証が効かないということが分かっても、閉鎖は1か月後だと発表したときは、さすがにSNSで炎上して速攻閉鎖することになった。当たり前の話である。
これもSNSの力だ。
また、あまり今回の証券会社の不正アクセスのニュースは、一般のテレビやラジオでは騒いでいない。大きく話題になっているのは、YouTubeなどである。
これでは、あまりSNSなどを使ってない年配の投資家は、今回の情報は伝わりにくいと思う。
私もYouTubeをよく見ているから今回のことは気が付いた。本当にYouTuberの皆さん、特に「猫山田コバンさん」のおかげだと思っている。
まさか、NISAをすすめている国が、圧力をかけてあまり一般のテレビやラジオで報道させないのではないかと思うぐらい騒ぎになっていないと思う。
最後はどうでもいいことを書いた。ざっとまとめるとこんな感じになっている。
私はほったらかし投資で、配当を貰うのが中心なので、常にログイン禁止、ログインできたとしても、売買停止ということでよいのだが、デイトレードなど、頻繁に売買をするひとはそれぞれ考えて欲しい。
とは言っても、私もたまに日経が落ちたときは1570で遊ぶのですが、これは待つ意匠権で今後はやろうと思っている。楽天、SBIはNISAなのでほったらかし。なんども言うけど、2社とも非常に分かりにくい。(まだ楽天はましだけど)。
それに松井は楽天やSBIより音声ユーザーには使いやすい。
その他に私がやったこと。
株取引、銀行専用の、これだけをやるためのパソコンを用意した。具体的にはiPad AIRを買った。
理由は遊びのパソコンと、金融形のパソコンを別にした方が安全、そしてiPadに下理由は、Windowsやアンドロイドよりは安全だから。
それから、かく証券会社や銀行の携帯の登録電話番号も変更した。
なぜならば、私の携帯電話番号は、私が初めて携帯電話を買った1997年から1度も変更してない。 完全にダークウエブには流れていて、わたくしの番号なのでさぞかし高値で売買されていることだろう(草)。
ログイン禁止の解除の時には登録電話番号を入力するので、長年使っている携帯番号ではちょっと怖い。
また、SIMスワップ詐欺などにあわないようにするため。なので、この番号は誰にも教えない。教えたら、その人の連絡帳から絶対にいつか流れる。。
ちょうど持っている格安SIMに、最低限の音声通話を追加した。
新たに電話番号を取るのも、そのための端末を買うのもそれほど高くはないと思う。
格安SIM+中古のiPhoneで十分だし。
その人のそれぞれの考えだけど、インターネットに資産を置くならば、大した額ではないとわたくしは個人的には思っている。
それから、皆さん、メールの設定はだいじょうぶですか。
POP3SとかIMAPSでやらないとメールのパスワード抜かれます。
だって、メールで、2段階認証の暗証番号がくるのですから。
各証券などの登録メールアドレスも変えました。@マークの前の文字列を複雑なアドレスにしておきました。これならばしばらくはイランメールはこないでしょう。
とは言ってもメールで送られてくる暗証番号は、平文なので読まれる可能性があるけどね。トークンでも使わないとだめなんだろうね。
だからもうパスキーやらないとダメな時代なんだよね。
それから、各証券会社の登録メールアドレス、登録電話番号が間違ってないことを確認しておいてください。
登録メールや、電話に暗証番号などが送られてくるので、違っているとログインができなくなってしまうかもしれません。
以上です。
この1ヶ月、不正アクセス騒動に振り回されてかなり疲れました。
いままでセキュリティーをあまく考えていたのでしかたないですが、でもよくよく考えて見れば、お金をインターネット上に預けているので神経質にならないほうがへんなんだよね。
それから宣伝ですが、日本点字図書館さんが出しているデージー雑誌、ホームライフの6月号で、ネットセキュリティーの基本事項について喋らせていただきました。もしよろしければサピエからダウンロードしてみてください。
慌ててこの文章を書きました。
なので間違っているところや、他に良い情報がありましたら教えて下さい。
連絡先は:nisa@(このサイトのドメイン名)です。
ありがとうございました。
本当に最後になったけど、SBIのFIDOの設定の方法です。
「SBI証券スマートアプリ」というものをiPhoneだったらアップストアから、Andoroidだったら、Goole Playから落としてください。
これを起動すると、案内が出てくるので、「設定をする」をタップする。
ユーザーIDとログインパスワードが求められます。これらを入れてください。
次に、登録メールアドレスを選ぶ画面が出てくる。それを選んで、取引暗証番号を入力。
すると、メールに暗証番号が送られてくるので、これを入力して、認証方法を選ばなければなりません。
この認証方法というのは、FIDOでSBIにログインするときに、生体認証にするのか、スマホのパスコードにするのかをえらぶのです。パスコードとは、スマホを最初に使うときに入れる番号のことです。
指紋や顔認証などの生体認証ができないものだったら、パスコードを選びます。
最後に、スマホのパスコードを2回入力します。
この時の番号の並び方は、ランダムな並びになるので、焦らずにゆっくりやってほしい。
設定の時に、あまり時間がかかってしまうと、最初からやりなおしになる。
それから、ログイン一時停止のまま、これを設定しようとすると、最初のユーザーID、ログインパスワードを入力すると、「間違ってます」とエラーがでるので注意。
つまりちゃんとログインが禁止されている証拠である。
それから、FIDOがちゃんと動作するかなと思って、SBIのアプリで試そうとしたら、「お客様はログインができなくなっています」と出た。
これは、わたくしが、アプリ経由からのログインを禁止しているからである。つまりこれもちゃんと動作している証拠。