安全の為に今すべき事

うにょ

楽天証券のセキュリティ問題点と対策:あなたの資産を守るために

楽天証券ユーザー向けの注意喚起となります。
本稿では、楽天証券のセキュリティ問題点を具体的に挙げ、現状で可能な対策方法を解説することで、ユーザーの資産を守るための注意喚起を行います。

1. 前提条件:一部のマーケットスピードⅡ利用者

マーケットスピードⅡ利用者で、取引暗証番号の省略設定を1度でも実施したユーザーは直ちに取引暗証番号を変更してください。

対策:(結論から先に)

  • 取引暗証番号の変更: マーケットスピードⅡ利用者で、取引暗証番号の省略設定を1度でも実施したユーザーは直ちに取引暗証番号を変更してください。当初は数字のみ4桁でしたが、現在は記号を含める事が可能です!桁数が少なすぎますので、必ず記号を含めるようにしてください。

  • ログインパスワードの変更: 現状、この前提条件に当てはまる場合はログインパスワードがほぼ唯一の砦ですので、推測されにくい安全かつ他と重複しないパスワードを設定しましょう。(少し不便ですがブラウザへの登録はせず、独立したパスワードマネージャを使用しましょう。)

  • バックアップ設定の上書き: がマーケットスピードⅡの設定値バックアップを全て暗証番号の無い設定状態で上書きする。(そもそも空の項目については問題ありません。)

  • 連携アプリの切断・一時利用停止: 現状、ログインパスワードの流出経路は特定されておらず、フィッシングやスキミングが中心とは思われるが、危険性と言うならば本人と証券会社以外の第三者にログイン情報を引き渡している資産管理系のソフトウェアなども情報の流出経路となりうることに注意。(現在起きていると言う話ではありません。あくまで可能性として。)

2. 原因:何故上記対策が必要か?

まず、ログインパスワードの漏洩経路についてはここではお話しません。色々な経路があると思われますし、ケースバイケースですので。ここではマーケットスピードⅡの脆弱性による問題点のみ共有します。

問題の原因と攻撃方法:

  • バックアップ設定の仕様が異常: マーケットスピードⅡにはPCの買い替え時などに以前の設定を引き継いで使用できるように設定情報のバックアップ機能が備わっていますが、これが悪用されうると言う話です。ユーザー操作によるバックアップ以外にもシステムが自動的に設定情報のバックアップを取得し、これを楽天証券側に保管しています。この情報は新規端末へのインストール時にログインが成立すればそのまま引き出して適用できるため、実質的にスキャルピング手法などで取引暗証番号をマーケットスピードⅡに登録しているユーザーについてはログインパスワードが流出した段階で、売買まで出来てしまうと言う事です。

  • 攻撃方法: 上記による攻撃は簡単です。ログインパスワードを何らかの方法で入手できた場合、そのユーザーが上記の前提に当てはまれば、攻撃者は自己のPCに新しくマーケットスピードⅡをインストールしてログインし、バックアップ設定を適用するだけで注文が可能になります。後は予め購入しておいた低位株に買いを入れて値を釣り上げて自身の玉を売り抜ければ終了です。注文を投入して約定だけさせれば、出金の必要はないのでマーケットスピードⅡの操作だけで目的は達成できてしまいますね。

3. 検証

本脆弱性は25年3月時点で楽天証券にチャットと電話でクレームとして報告し、対策をお願いしていましたが、25年5月1日時点でで対応されていませんでした。頑張って欲しい証券会社だけに、とても残念です。

確認方法:

  • 検証方法: 確認してみたい方はWindowsSandBoxで新規にマーケットスピードⅡをダウンロードしてインストールしてみてください。(Home版の方はごめんなさい。)実施した場合は取引暗証番号を変更した方が安心です。インストール後は初回ログイン時にバックアップ設定を戻すか聞かれますので、そこで取引暗証番号の含まれているバックアップデータを選択してください。ホラ、設定蘭に****が入ってるでしょ?(バックアップセットがたくさんある場合は1度でたどり着かなくてもログイン後のメニューから何度でもリトライできます。)あ~あ。

  • 与太話: まぁ、まともなアプリ設計者なら到底考えもつかない謎仕様ですが……与太話的に言ってしまうと、まともな実装者ならバックアップデータを取り出した段階でパスワード等の機微情報を外してから送信する筈です。多分現在は丸ごとそのまま送信しています。再インストール時はパスワード省略設定は再設定してね!ってだけの話なので。ホント、頭おかしいとしか……ついでに言ってしまうと、バックアップ設定にはWindowsのPC名称が含まれているのでこれまでのアクセス履歴にないPC名からのログインであればリスクベース認証の対象とすることが可能であるのに、現状そこもスルーなんですよね。(多分IP範囲位しか見てない。)もう、アホかと。記事の章立て、AIで楽したので雑な文章ですが、取敢えずお役に立てれば幸いです。

まとめ

現状楽天証券のマーケットスピードⅡには、セキュリティ面での重大な脆弱性があり、早急に修正が必要です。現状修正などが追付いていないため、ユーザーの自衛で資産を守るしかない危機的な状況にあると言えます。ユーザーは、これらの問題点を認識し、適切な対策を講じることで、自分の資産を守ることが重要です。

いいなと思ったら応援しよう!

ピックアップされています

マガジン2

  • 4,345本

コメント

1
Cooley
Cooley

設計も含め、機能テストはするけれども、セキュリティ面のチェック/テストがまったく行われてないのだろうね。これ、どこかの改修時に入れ込んだ機能だと思うので(最初ありませんでした)。

ログイン または 会員登録 するとコメントできます。
安全の為に今すべき事|うにょ
word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word word

mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1