ネットバンキング不正払い戻し被害


平成27年5月27日に全銀協は、今年4月のIBによる預金等不正引出し状況の速報を発表しました。個人被害は110件、221百万円で、法人被害は2件、2百万円でした。翌日の28日には、191会員行から集計した今年3月までの集計値を発表しました。今年1月〜3月の被害件数は、個人が170件、311百万円、法人が1件、1百万円だったということです。

4月と1〜3月を単純に比例比較すると、個人で2倍増、法人で6倍増ということになります。しかし、平成26年1〜3月の被害が、個人で370件、545百万円、法人が、23件、142百万円でしたから、昨年に比べると大幅に被害が減少していることになります。マスコミはこうした報道を一切しませんし、協会も何故、被害が減っているのか発表していません。

トレンドマイクロが、やはり5月27日に「2015年第1四半期セキュリティ・ラウンドアップ」を発表していました。同社はクラウド型セキュリティ技術基盤SPN(SmartProtectionNetwork)を運営しており、そのSPNでブロックしたオンライン銀行詐欺ツールの検出台数は8300件と昨年同時期5600件から1.5倍に増加しているということです。つまり、攻撃は増えているが、うまく防御しているということになります。

さて、昨年来、銀行は様々な対策を打ってきました。何が効いたのでしょう?OTPだとかIBウィルス検出ソフトの配布が効いたとの声もありますが、その対策を提供する銀行は多いものの、採用する個人や企業は余り増えていないそうです。即時振込を止めた、ないしは、OTPを前提条件にしたことが大きかったかと思います。余りコストをかけないで多重認証化したことも有効だったのでしょう。日本ほどの経済規模で、月間被害額が2億円超というのは、日本人は凄いと嬉しくなります。

10年程前、盗難カードや偽造カードでの不正引出しが社会問題化しました。生体認証やICカード化が必要だと皆が言いましたが、その導入前に事態が沈静化しました。引出し上限を設定したり、お客に安易な暗証番号を変更させるように誘導したからです。セキュリティ・ベンダーが言うような手当てをするまでもなく、収まってしまいました。

IB不正送金も今の状況が続くのであれば(月2億円強、年26億円程度の被害)、現在の対策で充分だとも考えられる。自動車事故の社会的損失に比べれば、十分に許容範囲だと言えなくはないか?しかし、そんな都合良くいく筈がありません。やがて、犯罪者達は新たな手法を開発して攻めてくるでしょう。それだけの対価が期待できるのですから。彼らには動機も技術もあります。やがて、トランザクション認証やリスクベース認証などが必要になります。マイナンバーのお陰でICカードリーダーが普及します。すると生体認証が当り前の認証手段となります。しかし、大半の銀行は先行して対策を打ちません。担当者は採用したくとも、行内を通す自信がありません。それより、他行がやられて大騒ぎになってから手当てする方が楽です。狼に狙われた羊の群れでも、一頭が襲われている間に自分が逃げる時間は充分にあると考えるのが銀行です。それにも合理性があると言えます。始末が悪いのは、経営陣が合理性と経営理念を時々で使い分けることです。

今の銀行は顧客情報保護に関して特権ID管理に意識を集中しています。年金機構の125万件情報流出事件が原因です。特権ID管理ツールのベンダーは、突然発生した特需にてんてこ舞いです。その嬉しい悲鳴に筆者は、「年金機構の犯人はお宅じゃないか」などと嫌みを言います。多くの銀行マンは、「あの組織の杜撰さと職員の当事者意識のなさというか、無責任な組織文化は、銀行とは大違い。」と言います。その通りです。でも、経営陣は許してくれません。「ウチが大丈夫だと、どうして言い切れるのか?」とどやされれば、何かせざるをえない。一番簡単なのが、何かツールを入れること。

このイベント・ベースト・オペレーションを非難するのは簡単ですが、こんな判り易い意思決定メカニズムはありません。コンサルもITベンダーも、この組織文化を前提に、販売戦略を立てることです。いくら啓蒙しても動かない銀行界に対して、規制当局は監督指針などで強制するようになりました。ビジネスモデルの再検討、決済高度化、サイバーセキュリティ強化などなどです。サイバーセキュリティに関する監督指針で、セキュリティ情報共有機関などを活用して云々と記述した途端にCSIRT加盟銀行が急増しました。その中には、セキュリティ担当者が一人もいない銀行すらあります。それでも、入らないよりは入っていた方が良いことに間違いありません。

年金機構の事件ですが、メディアはメールを開けた職員を責める記事を書きます。TVもそうです。ですから、多くの国民が職員を非難して気を晴らします。しかし、仕事のメールだと思えば、誰でも開けます。記者にもそう言います。「あなたなら開けないのか?」入口対策としてメールのスパムチェックと添付ファイルの事前チェックの仕組みを作ってあればと思います。出口対策もできていませんでした。ズルズルを大容量データが回線を通り抜けるのを、何もチェックしないとは。出口対策など、入口対策より数段簡単で費用も少ないのですが。要は個人ではなく、仕組みの問題です。そこにだらしない個人が大勢いると、出入自由、持ち出し自由となるだけです。

少し、腹が立つのは、契約しているセキュリティ・ベンダーです。何をしていたのかと思います。恐らく何度も警告していた筈です。しかし、客である年金機構の担当部門が警告や提言を採用しなかったのでしょう。この種の問題で、コンサルはそこで止めてはいけない。理事長に直訴すべきです。それでも、手を打たないのであれば、契約を解除すべきです。それがコンサルです。金もらって、誰もが言うことを形式的に言うだけなら、コンサルではありません。

この流出事件が原因で預金口座とマイナンバーの紐付けは先送りになるかもしれません。でも、銀行に対して「犯人はお宅ではないか?」という冗談は言いません。何故なら、そんなスキルは銀行にないからです。年金機構に同情することは、羊の群れではなく、無防備な一頭であったことです。こういう組織は他にもたくさんあります。

                                 (平成27年6月8日 島田 直貴)