オンライン証券の他人の口座から勝手に株を売買する犯罪が横行している。
Hackers Zero In on Online Stock Accounts - washingtonpost.com
この記事ではスパイウェアでパスワードを盗んでいるのでは、としているが確かではないらしい。
XSSなどの可能性もある。
他人の口座に侵入した後、その人の株を売却し、代わりに犯人が持っているpenny stockを買って値を吊り上げる。 pump and dumpという株価誘導の発展形とされている。
E-Tradeだけで1800万ドル(!)の損害が出ている。
Richard Stiennonのブログでは、カナダの業界団体IDAの発表を取り上げて、「もちろん加盟企業におけるユーザ口座管理が充分でないとか口座の利用状況をまったく監視していない、といった事は指摘していない。」と非難している。
サ New pump and dump scheme | Threat Chaos | ZDNet.com
この人はGartnerでセキュリティを担当していた人。
防止の為には個々の証券会社が対策を採るべき、とし、 GridDataSecurityやGreenArmorのような認証製品、 GridDataSecurity or GreenArmorの様な金融に特化した監視サービス、DB監視・監査製品としてImpervaとAppSec等を挙げ、こういったものがあれば犯行が完了する前に検知できたはずなのに、と言っている。
Leave a comment