◇ 金融ネット犯罪の動向と防止策 ◇


このレポートは、地域金融研究所発行の月刊誌「NewFinance」平成17年10月号への寄稿文に加筆したものです。

ネット・バンキングに関連した預金詐取が未遂を含めて多発しています。通帳と印鑑を前提とした本人確認の手法では、預金者も銀行も守れなくなりました。利便性をどこまで犠牲にして犯罪を防止するか?防止コストや被害額を銀行が全て賄い続けることが出来るのか?それは妥当なことなのか?重い課題となりつつあります。

残念ながら、銀行経営者には金融ハイテク犯罪を理解し、防止するための知識も情報も不足しているようです。後手に廻れば、無条件の被害補償や効果を期待できない防止策に巨額な費用を投入せざるをえない事態が繰り返されます。

金融ネット犯罪では、関連するIT技術者だけの問題ではなく、銀行全体が社会と協力して犯罪者と立ち向かうことが重要です。


わが国の金融ネット犯罪の動向

 今年になってから、ネット・バンキングを悪用した犯罪が増えだした。3月にUFJ銀行の顧客がフィッシング攻撃にあい、7月にはジャパンネット銀行、イーバンク、みずほ銀行の事業性個人顧客等9名がフィッシング・メールによって口座番号・暗証番号等を詐取され、知らない間にネット・バンキングで合計950万円を他人口座に振り替えられ、ATM等によって引き出された。8月には、みずほ銀行のFB顧客である学習塾が似た手口によって2億5500万円を詐取される事件もあった。

昨年までは、カード会社の名前を騙ったメールで顧客からカード番号や有効期限を詐取し、なりすましによるカード不正使用のケースが多かったが、今年は預金を対象とする銀行フィッシング詐欺元年ともいう年になってしまった。

もともと、クレジット・カードにおいては、本人確認の方法が単純な為に、カード情報を悪用した犯罪や偽造カードによる犯罪は、件数・金額ともに膨大なものである。(表1)



日本では年間200億円前後の被害が確認されており、米国ではVISAやマスターなど大手カード会社の年間被害額は各社10億ドルを超える状況である。クレジット・カードでは、顧客当たり月間利用金額上限が30万円とか50万円の制限があり、年間会費から保険手当てが行われている。それに対してネット・バンキングでは、暗証番号などの本人確認が比較的厳しいものの、多くの場合は振替上限がないか、あっても数百万円であるため、一度被害にあうと大きな金額になってしまう。

これまでネット・バンキング利用者の多くは、ネットショッピングやオークション、オンライン・トレードなどのヘビーユーザーであった。つまり、日本人としては比較的先進的なネット利用者である。それでも、大量に送付されるフィッシング・メールに騙されて、大切な口座情報や暗証番号等をもらしてしまうという実状は、真剣に受け止める必要がある。ましてや、最近では、携帯電話等の機能向上を活用した様々なネット・サービスが開発されている。預金口座を使った簡便な支払手段が普及しつつあり、その口座は総合口座で定期預金ともリンクしている。その利用者は従来の技術的水準の高い層ばかりではなく、インターネット・リテラシーの低い層が増えている。つまり、犯罪件数と被害額が急増することはあっても、現状の程度が続くことや、ましてや減ることは考えられない状況である。

ネット・バンキングは、銀行の事務コスト削減というメリットもあるが、顧客利便の側面からは、既存店舗、提携ATM網、テレフォン・センターと並んで銀行チャネルの4大柱になることは確実である。一方で、新規参入銀行などとの競争においては、取引に係わるセキュリティが既存銀行にとって最重要なセールス・ポントとなる。事業の継続性だけでなく、取引の堅確性が改めて評価される。ネット取引の堅確性は顧客側の機器や操作方法を包含して確保しなくてはならない。従来の銀行取引処理とは全く異なる視点が必要である。ブロードバンド・ユーザー約2千万のうち、40〜50万人分のPCが既にボットという新型スパイウェアに汚染されているという調査結果すらある状況だ。セキュリティは、単に技術的問題ではなく、銀行そのものの存続に直結する重大な課題となってくる。

代表的なフィッシング犯罪の手口

 数十万、数百万のネット利用者を持つ銀行の名前と書式やデザインを模倣(本物と見分けのつかないほど巧妙にできている)したメールを不特定の数万、数十万人に発信する。一定の確率で当該銀行のネット利用者が、そのメールを開封する。内容は、口座やカードの有効期限が過ぎた、システム障害が発生して早急に口座情報を復旧させたい、当該口座が犯罪に利用された形跡があるので確認したい、景品に当選したなどの文章である。そのメールには、本物と全く同じデザインのホームページがリンクされており、それをクリックすると個人情報や暗証番号などを入力する画面が表示される。それに入力すると情報全てが犯人のコンピューターに送信される仕組みである。

メールを餌に重要情報を釣り上げるという意味でフィッシングと呼ばれる。(正確には、高度という意味のSophisticatedと釣りを意味するFishingの合成語)

こうした手口は単純な方で、最近ではFarming(育成栽培)という方法が増えている。ネット利用者のPCにトロイの木馬と呼ばれるようなスパイウェアをメールに添付して送り込んでおき、利用者のキーボード入力や操作履歴を記録する。所有者に気づかれない内に自分のPCに伝送する。その後は、形跡を一切残さないようにプログラムなどを消去してしまう。こうしたテクニックは非常な速度で進化しており、従来のハッキングやウイルスのような愉快犯とは全く異なった動機を持っている。即ち、金銭的目的である。それも個人ではなく集団であり、高度な調査研究能力を保有していると考えられる。

攻める側は、防御側の防御策を研究し、最も弱い所をついてくる。その手口が通用しなくなると、次の方法を考え出す。完全な防御策はない。新しい手口は、一週間程度の短期間で世界各地に伝播している。銀行としては、手口最新情報の調査能力と防御技術力を備える必要もあるが、迅速な対応力がなければ意味をなさないことに留意すべきである。

国際的プロ犯罪集団の暗躍か?

 米国に本拠をおく国際的な調査会社ガートナーが先日発表した調査結果では、最近一年間に米国で発生したフィッシング詐欺の被害額は27億ドル以上だという。被害の範囲やフィッシング詐欺の定義が明らかでないので、その金額の真偽は定かでない。ただ、米議会でも、ネット犯罪抑止と被害者救済の為の法案審議が始まっていることから、無視できない規模の影響が出ていることは確かであろう。

日本でも、前通常国会において、カード・スキミングとなりすましによる預金詐取被害を補償する法案が成立した。その際に、ネット関連の被害救済も検討されたようだが、実体が把握しきれなかったことや、議員が技術的に勉強する時間的余裕がなかったので法案から外された経緯がある。次期通常国会では、補償法案が審議されることが確実視されている。銀行としては、保険等を使って補償に応ずれば良いのか、顧客や他の組織と協力しつつ防止策を強化して顧客と自社財産を守る姿勢を前面に出すのか、経営判断が不可避な事態となろう。

前述したようにフィッシング詐欺は組織的なものである。フィッシング・メールは海外から送られてくることが多い。誘導する偽サイトも海外のISP(インターネット・サービス・プロバイダー)に開設されていることが多い。犯罪者としては身元がすぐに判るような場所にホームページを開設するはずもなく、ISPのようなサイト掲示のサーバーを貸してくれる業者を使うのは当然である。ルーマニア、ポーランドのような東欧やチリ、アルゼンチンなど南米のISPが使われることが多いようだ。(このことは、必ずしもその国の人間が犯人であることを意味しない。日本人でも使える。)

フィッシング・メールの送信先であるメール・アドレス、狙う銀行のものに酷似したフィッシング・メールの雛形、偽サイトの雛型、口座保有者の情報を盗むためのスパイウェアなどがインターネット上で売買されている。事実、7月の3行を舞台としたフィッシングにおいて、偽サイトのサーバーには地銀を含めた16行の邦銀ネット・バンクの偽サイト(URL)が残っていたそうである。犯人達は、これらの銀行を充分に研究したあとで、攻撃したものと思われている。

このような犯罪用ソフトの闇ルートだけではない。詐取金銭を振り込ませる架空口座のマーケット、それから現金を引き出す人間、引き出した金銭をロンダリングする人間等々と分業化している。同じ組織ではなく、ネット上で役割を分担しつつ、それぞれが金銭的見返りを得るという、いかにもネットの特色を活かしたコラボレーションである。どの行為が犯罪を構成するのかは国によって異なるので、対応が難しい問題である。

留意すべきは金額に対する価値観の違いである。日本では、10万円程度ならという意識かもしれないが、国によってはそれが年収に相当する場合もある。地方の地域金融機関からすれば、対岸の火事に見えるかもしれないが、決して他人事ではない状況に入っていることを認識すべきである。

遅れている銀行の対策

一般の銀行員のネット犯罪に対する認識は皆無或いは極めて薄いものである。地域金融機関の多くは、ネット・バンキングの開発・運営をITベンダーに委託しており、業者が対応してくれるはずという意識のようだ。ところが、そのことを事前に契約等で定めているケースは稀である。また、ネット犯罪が地方に伝播するのは、まだ遠い先という意識の地域金融機関が多い。技術的問題なので専門家に任せておけば良いと考えていると、やがて大きな営業的、更には経営的な問題に直面することになる。

事実、米国では、防御が強化されている大手銀行を相手に実験・訓練してから、防御の弱い小規模銀行を狙い打ちするケースが増えている。犯罪者からすれば、成功確率と試行回数の掛算であるから自然の節理である。

日本でも、大手銀行や百万を超える口座を保有するネット専業銀行などは、様々な防御策を手当てしている。それでも、破られるケースが続いた。銀行としては、口座番号と暗証番号を盗まれては防止のしようがないのが実体である。第二暗証や乱数表なども採用しているが、これが万全でないことも実証されてしまった。ネット経由なので、犯人の姿や物的痕跡が見えないことも対応を複雑にする。では、ネット・バンキングを停止するかといえば、営業政策面からは不可能である。どこまで、手当てするかは、費用と顧客利便との兼ね合いの問題である。そのバランスを誰が判断するか?トップ経営者しかないことは明らかである。しかし、そのトップがネット・バンキングを使ったことがない、インターネットを触ったことがない、では話にならない。ここに、わが国の金融関連ハイテク犯罪対策の重大な問題がある。

ある金融関連業界紙が昨年末から今春にかけて金融関連IT担当者に行った調査では、フィッシングに関して、技術的手口などを理解しているのは10%弱であった。多少知っている30%と合わせても、国際化・分業専門化している犯罪集団と対決するには、お寒い限りである。

セキュリティは、投資効果の算定が難しい。万一の場合の損失見積と防止の為の投資の比較となる。損失は過小見積りで、費用は過大見積りとなるので、投資に消極的になることは理解できる。しかし、防衛や警察に係わる予算の構成比率に比べると銀行セキュリティ関連予算が少ないことは確かである。欧米の金融機関では、IT予算の3から10%がセキュリティ関連予算との調査結果がある。日本の銀行の年間IT予算は、一般的に総資産の0.1から0.2.%であるが、その5%をセキュリティ関連費用とすれば、総資産5兆円の銀行で2億5千万円から5億円となる。要は、経営戦略の中でセキュリティをどのように優先付けするかの問題である。泥縄式の対応や外部からの圧力で実施するのでは単なる経費で終わるが、営業戦略の一環として実施すれば営業推進効果も期待できる。まさに経営マターである。

今できる防止策と経営トップの役割

前述したように、完全な防止策はない。攻撃側は日進月歩で新しい攻撃手段を開発する。まさにイタチごっこであるが、それを前提として防御策を講ずるか。または、ネット・サービスから撤退するかしかない。顧客に暗証番号や口座番号等の機密データを漏洩しないようにしてもらうことが第一だが、啓蒙活動にも限界があるだろう。

現在考えられる防止策は、以下のようなものである。(表2)


 技術的対応

 送信者・Webサーバー認証の採用

 ホームページ偽造を困難化するページ設計

 第二暗証の採用

 生体認証等の採用

 ワンタイムパスワード、乱数表の採用

 ソフト・キーボードの採用

 異常取引検知

 スパム・メール減少策の推進

 組織的対応

   顧客への防止策啓蒙活動

   全社的防止・発生時対応チームの組成

   フィッシング・メールの早期発見

   偽サイトの調査・モニタリング

   犯罪予見情報の他金融機関・ネット・サービス業者との共有

   大口資金移動の制限(口座ロック方式,振込先事前登録制等)

   コンティジェンシー・プランの作成と予行演習の継続


しかしながら、カード・スキミングや偽造カードに関連した「なりすまし出金」と同様に、フィッシングによる「なりすまし出金」も、犯人が口座所有者の身内である場合が多い。顧客からの被害届けへの対応によっては、大切な顧客を失うことにもなりかねない。また、上記のような防止策を実施すれば、ネット・サービスの利便性は劣化する。従来のような画一的メニューでは、顧客ニーズを充たせない。セキュリティ・レベルと利便性の組み合わせを数種類用意して顧客に選択してもらうしかあるまい。また、その際に、一部サービスを有料化する必要も出てこよう。銀行が安全を無料で提供できる時代ではなくなりつつある。こうしたことをIT部門に決定させるのは無理である。営業部門を巻き込んで、経営トップが決定すべき案件である。その為には、経営トップがセキュリティ前線に出て、ネット犯罪の動向や防止策を学ぶとともに、顧客ニーズを把握する必要がある。IT部門や外部コンサルタントに丸投げする話ではないことを認識すべきであろう。


経営戦略におけるネット戦略の位置付けは後回しとしても、経営トップが今すぐになすべきこととしては、下記のようなことがある。

◇ ネット・セキュリティ担当チームの組成(ネット犯罪関連情報収集、関連技術習得、防衛策の調査研究等)

◇ ネット・セキュリティ関連総枠予算の提示

◇ 顧客・他金融機関・大手ネット企業等との協力態勢構築

◇ 偽サイト、フィッシング・メールのモニタリング態勢整備(通常は外部委託)

◇ ネット犯罪発生時に備えた行内タスクフォースの組成(IT、法務、営業、広報、総務部門等の横断的チームで行員を固有名詞レベルで選抜、予行演習が必須)


事案が発生してしまった場合には、被害の防止、最小化、早期復旧、原因究明、再発防止のリスク管理サイクル原則に順ずることになる。攻撃側は短時間の内に攻撃を繰り返すので、初動態勢が重要である。代表的なコンティジェンシー手順は以下のようになろう。

@ 通常は、顧客がフィッシング・メール等に気づいて支店やコールセンターに通報してくる。受付部門は即座にセキュリティ担当チームに連絡する。

A 偽サイトやメール等を証拠として保全する。その内容を解析して偽サイトの存在場所やメール発信元の特定を行う。

B 偽サイトの運営ISPが判明すれば、そのサイトの削除を依頼する。多くは外国なので、英文メールでISPに直接依頼するか、警察庁経由で現地国警察に依頼することになる。

C 顧客への通知を行う。ホームページに掲示するが、緊急を要する場合はマスコミに開示する方法もあろう。特定顧客が判っている場合は、直接連絡して口座の凍結等を行う。

D 捜査機関と相談しつつ、保全した証拠物件等を提出する。

地域金融機関といえども、フィッシング犯罪に巻きこまれれば、国際的な動きをとらなくてはならない。また、その活動範囲もネット関連技術だけでなく、法律、マスコミ対策などが関連しつつ、顧客との接点は営業部門が担当することになる。それも事案発生から2、3日が勝負である。日頃から社内外の協力体制を整備しておくことが最も重要だというのが、フィッシング攻撃を経験した各社の共通意見である。