ネットバンキングでの不正送金被害が深刻な問題になっている。警察庁の調べでは2012年の被害額は4800万円だったが、2013年は14億円を超え、約30倍も増えた。2014年2月以降、筆者はセミナーで「今年はこの金額を軽く超えてしまう可能性が極めて高いと思う」とお伝えしていた。この悪い予想が外れれば良いと思っていたが、現実は逆になり、NHKによれば5月9日時点で既に最悪だった2013年を上回ってしまった。
筆者は銀行勤務時代に、金融庁の依頼でネットバンキングのセキュリティ対応策について他の関連部署と検討をしたことがあった。その後、コンサルタントとして金融機関側での様々な対策を提案してきたが、いままさに「最悪に近いシナリオ」通りになってしまった。この問題について、インターネット上では様々な解説が飛び交っているのでここで整理してみたい。
例えば、一部のマスコミは「ワンタイムパスワード(OTP)もダメらしい。ネットバンキングは控える方がいい」と伝えている。筆者は既に数年前からOTPの脆弱性における危険性を伝えてきた。しかし当初は、「機械によってパスワードが1分間で変更されるので、いくら盗まれても安心でしょう」という某銀行職員がいるほどの状況だった。利用者に「OTPは安全」とアピールする現場に遭遇したこともあった。
そのうちに外国でOTPが実際に破られたという情報が金融界に浸透し始めた。すると、「日本では1件も被害が発生していない」と主張する方が出た。これが非論理的であることは多分ご本人も理解していただろうが、「金融は完璧であるべき」という理想が頭にあり、そういう発言をされたのだと思う。
乱数表やOTPは100%安全?
一般利用者は、「IDとパスワードだけでは危険な感じがするけど、1分で内容が変わるOTP(トークンを利用する場合)なら、万一盗まれても大丈夫」と思いがちだ。
しかし最近のダイレクトバンキングでの不正は、マスコミ報道にある通り、正規の銀行システムと被害者との通信の間に侵入する。パスワード入力が完了すると同時に、犯罪者への口座送金指示が正規の銀行システムに伝わってしまうので被害が起きてしまう。専門用語では「Man in the Middle(中間者)攻撃」と呼ばれるものだ。
この辺は多少の専門知識が必要になるので詳しい解説は割愛するが、金融機関向けのセミナーでは被害が全く発生していない時期から危険性をお伝えしていた。ただし、その対策を金融機関が施すということはあまりない。当時の主流は利用者側で講じる対応策だったこともあり、最近になって被害が発生するまで金融機関では動きにくかったという事情がある。
被害は補償される?
全国銀行協会(全銀協)は、原則として「被害に遭った個人のお客様は補償します」ということをうたっている。このことは本当である。ただし、預金者保護法の原則論を持ち出す訳ではないが、「ネットバンキング利用者なら最低でのこの程度くらいの注意義務は全うしている」という前提がある。全銀協が2008年に決めた前提の内容は以下の図にある通りだ。
ここでの「過失」とは、一応銀行側で判断することになっているが、おおよそは一般の利用者でも理解できると思う。例えば、「ウイルス対策ソフトがない、失効している」「OSのパッチが自動更新でなく、今も最新ではない」など様々な要因がある。
加えて、法人についても補償すべきとの世論もある。現状は状況により個別対応だ。全銀協ではその対応について検討し、夏頃までにはその方向性を公開したいという。ただ、統一基準の作成は無理という判断があるようだ。
詐欺のルートは?
利用者を狙う詐欺は主に2つのルートしかない。
- 偽の金融機関メールからフィッシングサイトに誘導されるケース
- 利用者のPCが既にウイルスに感染し、ネットバンキング利用時にだまされるケース
特に(2)のケースは、初心者ならなかなか分からないだろう。本物のWebサイトで入力しているはずにもかかわらず、実は偽のページでパスワードを入力しているからだ。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.