楽天証券の不正アクセス被害が話題ですが原因として利用者のPCがInfoStelaler/情報窃取特化型ウィルスに感染しており、そこから認証情報が抜かれ悪用されている可能性が高いと考えます。PCでの取引が多くChrome等のブラウザにログイン用と取引用のID/Passwordを保存していた人は特に注意が必要です。以下で解説します。
InfoStelalerとは:
InfoStelalerは主にPCに感染する情報窃取に特化したウィルスでブラウザに保存している認証情報は容易に抜き盗られます。ここ数年で感染数が爆発的に増加しています。ほかにも仮想通貨関係や銀行口座情報、スクショ等を盗られます。
InfoStelaler経由と判断した理由:
InfoStelaler経由で漏洩しダークウェブ上で販売・流通しているデータを調査すると、実際に楽天証券固有の形式のログイン用ID、Passwordと取引用Password(4文字数字)の漏洩が大量に確認できます。この情報があれば不正取引が可能です。以下画像はサンプルですが数万件の漏洩データがあります。
なお、フィッシングメール経由説は個人的には否定的です。ログイン用のID/Passwordだけであればで窃取するのは比較的容易ですが取引用パスワードまではフィッシングサイト側を相当作り込む必要があり相当困難です。
InfoStelalerの感染理由:
大きく2つの経路があります。1つはWeb検索経由で探しインストールした何らかのソフトやゲームが悪性のものでそれにくっついて入ってきたパターン。もう1つはClickFIXと呼ばれるユーザがいつの間にか悪性コマンドを実行するパターンです。ClickFIXは以下投稿で解説しています。
x.com/nekono_naha/st
暫定対策:
楽天証券から案内されているID/Passwordの変更とMFAの設定を行えばひとまず安心です。ブラウザに保存していた他サービスの情報も合わせて漏洩しているため不正ログインの履歴があった人は全サービスで同じ対策を取るのが良いでしょう。ブラウザに保存した認証情報は容易に抜き取ることが可能なためパスワードマネージャーの利用もおすすめします。
その他:
InfoStelalerは情報を抜いたら自己消去するタイプもありますが、常駐している可能性もあるので念の為アンチウイルスの定義ファイルを最新にしてフルスキャンすると良いと思います。
InfoStelalerとは:
InfoStelalerは主にPCに感染する情報窃取に特化したウィルスでブラウザに保存している認証情報は容易に抜き盗られます。ここ数年で感染数が爆発的に増加しています。ほかにも仮想通貨関係や銀行口座情報、スクショ等を盗られます。
InfoStelaler経由と判断した理由:
InfoStelaler経由で漏洩しダークウェブ上で販売・流通しているデータを調査すると、実際に楽天証券固有の形式のログイン用ID、Passwordと取引用Password(4文字数字)の漏洩が大量に確認できます。この情報があれば不正取引が可能です。以下画像はサンプルですが数万件の漏洩データがあります。
InfoStelalerの感染理由:
大きく2つの経路があります。1つはWeb検索経由で探しインストールした何らかのソフトやゲームが悪性のものでそれにくっついて入ってきたパターン。もう1つはClickFIXと呼ばれるユーザがいつの間にか悪性コマンドを実行するパターンです。ClickFIXは以下投稿で解説しています。
x.com/nekono_naha/st
暫定対策:
楽天証券から案内されているID/Passwordの変更とMFAの設定を行えばひとまず安心です。ブラウザに保存していた他サービスの情報も合わせて漏洩しているため不正ログインの履歴があった人は全サービスで同じ対策を取るのが良いでしょう。ブラウザに保存した認証情報は容易に抜き取ることが可能なためパスワードマネージャーの利用もおすすめします。
その他:
InfoStelalerは情報を抜いたら自己消去するタイプもありますが、常駐している可能性もあるので念の為アンチウイルスの定義ファイルを最新にしてフルスキャンすると良いと思います。