ネットバンキングでの不正送金被害が深刻な問題になっている。警察庁の調べでは2012年の被害額は4800万円だったが、2013年は14億円を超え、約30倍も増えた。2014年2月以降、筆者はセミナーで「今年はこの金額を軽く超えてしまう可能性が極めて高いと思う」とお伝えしていた。この悪い予想が外れれば良いと思っていたが、現実は逆になり、NHKによれば5月9日時点で既に最悪だった2013年を上回ってしまった。
筆者は銀行勤務時代に、金融庁の依頼でネットバンキングのセキュリティ対応策について他の関連部署と検討をしたことがあった。その後、コンサルタントとして金融機関側での様々な対策を提案してきたが、いままさに「最悪に近いシナリオ」通りになってしまった。この問題について、インターネット上では様々な解説が飛び交っているのでここで整理してみたい。
例えば、一部のマスコミは「ワンタイムパスワード(OTP)もダメらしい。ネットバンキングは控える方がいい」と伝えている。筆者は既に数年前からOTPの脆弱性における危険性を伝えてきた。しかし当初は、「機械によってパスワードが1分間で変更されるので、いくら盗まれても安心でしょう」という某銀行職員がいるほどの状況だった。利用者に「OTPは安全」とアピールする現場に遭遇したこともあった。
そのうちに外国でOTPが実際に破られたという情報が金融界に浸透し始めた。すると、「日本では1件も被害が発生していない」と主張する方が出た。これが非論理的であることは多分ご本人も理解していただろうが、「金融は完璧であるべき」という理想が頭にあり、そういう発言をされたのだと思う。
乱数表やOTPは100%安全?
一般利用者は、「IDとパスワードだけでは危険な感じがするけど、1分で内容が変わるOTP(トークンを利用する場合)なら、万一盗まれても大丈夫」と思いがちだ。
しかし最近のダイレクトバンキングでの不正は、マスコミ報道にある通り、正規の銀行システムと被害者との通信の間に侵入する。パスワード入力が完了すると同時に、犯罪者への口座送金指示が正規の銀行システムに伝わってしまうので被害が起きてしまう。専門用語では「Man in the Middle(中間者)攻撃」と呼ばれるものだ。
この辺は多少の専門知識が必要になるので詳しい解説は割愛するが、金融機関向けのセミナーでは被害が全く発生していない時期から危険性をお伝えしていた。ただし、その対策を金融機関が施すということはあまりない。当時の主流は利用者側で講じる対応策だったこともあり、最近になって被害が発生するまで金融機関では動きにくかったという事情がある。
被害は補償される?
全国銀行協会(全銀協)は、原則として「被害に遭った個人のお客様は補償します」ということをうたっている。このことは本当である。ただし、預金者保護法の原則論を持ち出す訳ではないが、「ネットバンキング利用者なら最低でのこの程度くらいの注意義務は全うしている」という前提がある。全銀協が2008年に決めた前提の内容は以下の図にある通りだ。
ここでの「過失」とは、一応銀行側で判断することになっているが、おおよそは一般の利用者でも理解できると思う。例えば、「ウイルス対策ソフトがない、失効している」「OSのパッチが自動更新でなく、今も最新ではない」など様々な要因がある。
加えて、法人についても補償すべきとの世論もある。現状は状況により個別対応だ。全銀協ではその対応について検討し、夏頃までにはその方向性を公開したいという。ただ、統一基準の作成は無理という判断があるようだ。
詐欺のルートは?
利用者を狙う詐欺は主に2つのルートしかない。
1. 偽の金融機関メールからフィッシングサイトに誘導されるケース
2. 利用者のPCが既にウイルスに感染し、ネットバンキング利用時にだまされるケース
特に(2)のケースは、初心者ならなかなか分からないだろう。本物のWebサイトで入力しているはずにもかかわらず、実は偽のページでパスワードを入力しているからだ。
●基本的な対策は何か
オンラインバンキングの不正送金対策についてフィッシング対策協議会が、5月12日に「インターネットバンキングの不正送金にあわないためのガイドライン」を公開した。詳細についてはぜひ参照していただきたいが、基本は次の通りである。
OSのパッチは「自動更新」が望ましい
Windowsなどのパッチは自動更新されるのが普通である。この設定を適用した方がいい。「しない方がいい」という上級者でもない限りは自動更新にしておくことだ。
ウイルス対策ソフトは必須
筆者が銀行員時代に調査をした際、なんとウイルス対策ソフトを全くインストールしていないPCからネットバンキングを利用したり、ネットカフェでバンキングを利用している方がいた。これは言語道断である。
比較的多いのは、ウイルス対策ソフトの有効期間を過ぎてもそのまま利用していたというケースである。これも危険なので絶対に避けたい。また、個別に「どれがいいソフトですか?」という相談を受けるが、初心者であれば、まずメジャーな製品であれば問題はないと思う。ネットに様々な比較サイトが存在するものの、一部は怪しいWebサイトもあるので注意してほしい。
ネットバンキングでの入力
初心者はともかく、普段(例えば週1回行っている振込操作)から実施している操作と少しでも違和感があれば、入力を中止すべきである。急に「システムエラーがありましたので、下記の乱数表の空白部分に正当な利用者であるという証明のため入力をお願いします」ということは絶対に無い。100%偽サイトであるが、エラーが表示されてパニックになる方が多い。
また、「いま閲覧しているWebサイトが本物か?」をチェックする方法もある。最も簡単なのは、URLが正規のものかを確認しつつ、SSL証明書の内容も確認すること。ただ、慣れていないと難しいだろう。ぜひ一度は、どういう表示なら安心なのかを事前に確認しておくといい。金融機関によって確認方法が違う場合もあり、いきなり確認しようとして慌てることがないようにしたい。
パスワード
パスワードの現状は、資金移動を伴う場合にほとんどのサービスで2要素認証(3要素認証もある)が用意され、利用者が自分で管理できるのは1つのみというケースが大半である。パスワードを頻繁に変更できる人なら、頻繁に変更した方が良い。
難しいという人(ルーズな人や高齢者)は、無理に変更する必要はないと思う。振込時にOTPを入力することが多いが、その際のパスワードはトークン(機器)に表示されている数字などを入力するしかない。
また、一部の金融機関はOTPをメールで通知している。これにはメリット・デメリットがあり、どちらにも共通して言えるのは、「なりすましによって不正送金が行われる最近の詐欺ではどちらも破られてしまうリスクがある」ということだ。
●最大の防御策
最も効果的な方法とは、バンキングだけでなく全てのPC操作やインターネット操作において自分の行動を慎重にすることだ。例えば、メールのリンクも信用しない。前項で挙げたガイドラインの内容は、ネットやPCの利用にある程度慣れた中級者以上でないと理解できない可能性があると感じた。チェックリストも詳しくできているだけに、むしろ使いづらいかもしれない。例えば、ガイドラインの6ページの後半にあるチェックリストは次のようになっている。
●【金融機関からのメールを受け取った場合】メール文中にあるWebサイトへのリンク先URLは見覚えがありますか?
↓
メール文面中のURLと実際に飛ぶ先のURLが異なるように細工をすることが可能です。これを見破るためには、リンクまたはURL部分にマウスカーソルを乗せてみます。表示されたリンク先のURLが利用者カードや毎月の請求書などに記載のURLと同じことを確認しましょう。
セキュリティの有識者なら平易過ぎるこの表現も、初心者には分からない場合が多い。筆者ならこうする。
●メール文中にあるWebサイトへのリンク先は信じない。クリックしない。
↓
もし表示されているWebサイトへ行く必要がある場合、「お気に入り」に登録しているその金融機関のトップページに飛び、そこでの案内にしたがうか、サイト内検索で該当ページに行くこと
ここで重要なのは「リンクを信じてはいけない」という点を体で覚えることにある。利用者は「安心してバンキングができれば良い」と考えるので、多少の不便さは許容範囲だと認知してもらうことが重要だと思う。
なお、いまは「金融機関からのメールを受け取った場合」だけではなく、全てのメールに対して防御しなければならない時代である。ウイルスに感染させることだけが目的のメールなら、攻撃者はわざわざ金融機関を名乗ってメールをしない。もっと狡猾に仕掛けてくる。だからこそこうしたチェックリストは、ぜひそこまで踏み込んだ内容にしてほしいというのが筆者の希望だ。
不正送金被害が深刻になっているこういう時期にガイドラインが作成されたのは高く評価したい。利用者もこれを参考に、各自で考えるきっかけになれば幸いである。
●執筆・萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
