偽造カードでコンビニATMから14億円引出し

読売新聞が平成28年5月21日にスクープしました。日経新聞など他紙は23日付で報道しています。15日に17都府県のコンビニ1400台から偽造カードで一斉に現金が引き出され、その総額は14億4千万円になるといいます。南アフリカのスタンダード銀行が発行したクレジットカード約1600枚分の情報を空のカードに書き込んで、キャッシング取引として1万4千回使われたとのことです。それも2時間半という極めて短時間の間です。

一回の引出し上限額が10万円なのでATMを変えながら、同じ人間が何度も操作したようです。最低で1万4千回ですから、出し子は100人以上と思われています。偽造されたカードの枚数は公表されていませんが、素直にみれば1600枚以上ということでしょう。焼き肉店の顧客カード6枚が発見されています。不良カードと判定してATMが取り込んだと思われます。これには中国文字が書かれており、焼肉店の中国人客が書き込んだというよりは、カード偽造の段階で犯人グループが書いたもののようです。ただし、犯人グループが中国人とは言い切れません。わざと中国文字を残したのかもしれません。

南アで盗まれた情報を購入したか、自分で盗んだ犯罪集団が、大量の偽カードを作成し、海外クレジットカードを使えるセブン銀などコンビニATMに出し子百人以上を繰り出して、2時間半の内に1万4千回の取引を成功させています。コンビニATMで使えることを承知した上での犯行ですから、日本在住の人間がいるのでしょう。警察は国際的犯罪組織の犯行とみて、国際刑事警察機構と連携して捜査するとしています。

この事件は、これまで考えられない規模と大胆さで関係者に衝撃を与えています。政府は海外からの観光客誘致を目的に、海外カードによるATM取引を強く要請していますが、まだサービスを開始していない金融機関などは、より慎重になることでしょう。平成27年度の偽造・盗難カードによる被害総額は17億円弱ですが、それにほぼ匹敵する被害がほんの2時間半の間に起きたことになります。政府は、磁気ストライプ・カードだから狙われたのだ、早くICカード化して、旧式カードを使えないようにしろというかも知れません。でも、2020年にはとても間に合いません。その頃には、どの位の被害が出るのでしょうか?ブロックチェーンを使った予測ゲームが出てくるかもしれません。

コンビニATMということはセブン銀、イーネット、ローソンなのでしょう。海外カードを使えるので知られるゆうちょ銀は使われていないようです。ゆうちょATMは日曜21時以降を除けば24時間サービスですから、対象となっても良いのですが。犯人達は、ゆっくりと繰り返して操作できるように、15日の日曜午前5時過ぎから8時前の客足の少ない時間を狙っています、ゆうちょ銀のATMコーナーだと防犯カメラに大写しになることを嫌がったのかも知れません。コンビニATMでもきっちりと防犯カメラがついているのですが。

それにしてもコンビニATMのセンターは、南アのカードを短時間の間に1万4千回も使われて放置していたことになります。セブン銀などは、海外カードによる不正取引が多いことは重々承知しており、カードの真贋チェックや不正取引検知機能を備えている筈です。海外カード対応後発の他コンビニATMもベンダーから情報を仕入れてそれなりの不正取引防止機能を備えているでしょう。それにも関わらず、まんまとやられました。つまり、犯罪集団は、どんな防犯機能があるか、それをすり抜ける方法を知っていたということなのでしょうか?更に短時間で引出しを繰り返すということは、事前に操作の訓練をしていたのかも知れません。そうだとすれば、何とも恐ろしいことです。今回の事件で各社は防犯を更に強化するでしょう。それでも、また、やられるとすれば、どこからセキュリティ情報が漏れているのか?

この事件に関して警察は情報の公表を制限しています。ATMのログや防犯カメラの分析、成田空港等のカメラ情報とのすり合わせなどをやっているのでしょう。空港やフェリー港の入国管理事務所の顔面データは自動照合できる筈ですから、それほど時間を要するとは思えません。犯人検挙の可能性があるからこそ、情報公開を抑えていると思いたい。

引き出された現金が戻る可能性は低いでしょう。大半は首謀者に渡っているでしょうし、首謀者を警察が検挙するまで時間がかかりますから、それまでに現金は他所に移されている筈です。ところで、この被害は誰が負担するのでしょうか?日本のATMでは運営管理者は銀行と定められています。つまりセブンイレブンならセブン銀行、イーネットやローソンであれば、各ATMの管理銀行が負担するのでしょう。それには保険がかかっていますから、最終的には保険会社が負担するのかもしれません。または、南アの銀行に補償を求めるのか。金融犯罪のグローバル化に日本の金融機関は対応できるのか、良い学習機会となりそうです。

この事件を契機に、日本の銀行はフィンテックをもっと進めるべきだという評論家がいました。何のことかと思ったら、ATM取引の都度、そのカード所有者のスマホに取引通知を出すのだと言うのです。南アで情報を盗まれた人に、どうやって通知を出すのか?それとも出し子に通知するのか?訳の判らないことを言う人もいるものだと思いますが、そのとおりだという銀行利用者もいます。迂闊にフィンテックに手出しすると、銀行による被害補償範囲が拡大することになりかねない。セキュリティ・リテラシーも犯罪組織同様に、金融機関に対する危険な要因となることを考えなくてはいけません。顧客にセキュリティ関連のテストを課して、その成績に応じて、被害時の補償範囲や手数料優遇をするフィンテックであれば、検討に値するかも知れません。

                     (平成28年5月25日 島田 直貴)