ネットバンキング不正取引 (三菱東京UFJ銀の顧客に被害)


三菱東京UFJ銀行(以下BTMU)の顧客を狙った不審メールが流通し、数人の顧客が実被害を受けたとのことです。BTMUのセキュリティは、大変堅固に防御策が施されていることで知られていますが、それが破られたのかと大きな衝撃を与えています。

http://itpro.nikkeibp.co.jp/article/NEWS/20110906/368221/

余り報道されていませんが、6月末から複数の地銀でネットバンキング不正取引を試みる動きが急増し、一部に実被害が発生しています。大半が個人客ですが、法人客にも一件被害が出たとされています。移動された資金は外国人らしき名義の口座から引き出されたケースが多いとのことです。といって、犯人が外国人とは限りません。判り易い話にする為、日本人がそれらしき口座を有料で入手して使うことも考えられます。http://itpro.nikkeibp.co.jp/article/NEWS/20110803/363381/

地銀のケースでは、当初、セキュリティに弱いとされる一部グループ地銀の共同システムから口座情報が流通したのかとの見方が出ました。当該ベンダーによる検証の結果、データ流出の痕跡は見つかりませんでした。キーロガー等のスパイウェアにより顧客側から口座情報、PWが盗まれたとの観測が強まっています。警察も捜査を始めていますので、被害者のPCを検証すればスパイウェアか否かが判ります。警察は遅くとも8月上旬から捜査していますので、既に、手口を掴んでいる筈ですが、いまだ何の発表もありません。

メディアの取材に対し、銀行もネットバンキング提供ベンダーも、自分には非はないと繰り返し、警察が捜査中との理由で何も答えません。ただ、Webサイト等で顧客に抽象的な注意を喚起するだけです。しかし、我々にとっては、スパイウェアやフィッシングの存在が常識であっても大半の利用者は、全く認識していません。銀行がWebサイトで警告しても、まずは見ていないでしょう。それに、ネット取引を開設する時に、安全性を強調することはあっても、お客様が油断すると被害に会いますよなどと警告することはありません。

金融庁の調査http://www.fsa.go.jp/news/23/ginkou/20110722-3.htmlによれば、ほぼ全ての銀行がログイン時と資金移動指図の際との複数認証を採用しています。 しかし、日経コンピュータが被害状況を分析したところ、実被害のあった銀行は、可変パスワードではなく、固定パスワードでした。そこで同誌は、固定パスワードの脆弱性を警告していました。

この騒ぎの中、BTMU顧客を狙うフィッシング・メールが大量に流通しているとの情報が流れました。筆者のPCにも届きましたが、既にセキュリティ・ソフトがブロックする状態になっていました。BTMUの場合は、有効性への疑問と利便性の問題からワンタイムパスワードの本格的採用を見送っており、確認番号による複数認証を行っています。仮にフィッシングでIDとPWを詐取されても、資金移動には確認番号表による二桁の数字が必要です。100回再試行すれば認証される理屈ですが、複数回失敗すれば取引はブロックされます。それでも、同行の顧客に実被害が出たということは何が起きたのでしょう。

今回のBTMUのケースは違うそうですが、ネットバンキング不正取引の大半は、実は身内など被害者周辺の人によるものです。銀行に被害届けがあっても、調査している段階で、あの件はなかったことにしてくれと顧客から申し出てくることが多いのです。振り込め詐欺が社会問題となった時、私は判断力の衰えた老人ばかりが、被害に会うと思いこんでいました。しかし、現役の弁護士が被害にあったとの報道を見た時に、人間の機微には年齢や職業など関係ないことを認識しました。

ビッグデータの活用がブームとなり、様々なツールが低価格で流通しています。国の内外で、様々な個人情報が合法、不法を問わずに収集され流通しています。犯罪者にとっては、まさにエマージング・マーケットです。まして、メガバンクのように3、4千万人の顧客数となると日本人全員にメガバンク名でフィッシング・メールを送っても、ヒット率は20%以上です。犯罪者にとって、これほどジューシーな層はありません。その時に、ビッグデータ解析から得た情報を使ってスピアフィッシング・メールを使えば、更にヒット率が上がります。本当に怖い状況になったものです。

こうした事態ははるか以前から想定されており、銀行界もITベンダーも様々な防御策を開発し、採用してきました。しかし、それは提供側での防御策が大半です。ネット取引においては、顧客もシステムの一部ですが、そこのリテラシーが最大のネックとなることは自明です。振り込め詐欺を見ればわかるように、これほど社会的な啓蒙運動を展開しても被害に会う人が後を絶ちません。ネットバンキングも同様でしょう。しかし、銀行としては、お客がドジなだけで自分の責任ではないと本音は言えません。可能な限り、顧客を守る措置を施さなくてはなりません。その点で、地銀や共同ネットバンク提供ベンダーの姿勢には疑問を抱かざるをえません。捜査中だからとか、手口を明らかにすると模倣犯が出るとかの理由で情報公開をためらっている間は、犯罪者にとって誠に有難い収穫期です。一刻も早い情報公開と啓蒙活動を行うことを優先すべきです。技術的にあらゆる手段を施しても、狙われれば最後には破られることを覚悟すべきです。今、なすべきことは、顧客側の防御態勢強化です。技術面も必要ですが、最も重要なのは、顧客のセキュリティ・リテラシーです。大震災の影響で日本のネットバンキングを知っている技術者が母国に戻ってしまいました。その中からネット犯罪集団に協力する者が出る可能性は否定できません。日本語障壁が下がったという事実認識が必要です。

前述の金融庁調査によれば、昨年度のネットバンキング不正取引件数は、72件とピークである平成19年度の233件から大きく減っています。今年は大巾に増えそうな状況です。昨年72件の内、銀行は18件に関し損害を補償し、16件は補償しないとしています。残り38件は調査中とのことですが、今回の地銀やBTMUの案件ではどのような対応になるのか、その理由は何かに関心が高まるでしょう。補償しない理由の大半は、顧客側に重大な過失があった場合なのですが、銀行としては、その顧客の過失を減らす努力が求められることになります。この啓蒙活動は、銀行だけでは無理で、マスコミの役割が重要です。メディアは徒らに不安だけを煽ることなく、冷静かつ客観的にリスクの所在と対策を判り易く啓蒙すべきです。