ネットバンキングは危険!　やらない方が良い。　重要なお知らせ。私はやめた。2016.3.1

電子版トップ

• 残高が突然ゼロ　偽画面で暗証番号盗む （2014/6/11 7:00） ［有料会員限定］

• ネット詐欺　ＩＤ乗っ取り、データ人質に （2014/10/14 7:00） ［有料会員限定］

• ネット詐欺　巧妙な手口に乗らぬ心得 （2014/10/8 7:00） ［有料会員限定］

• 預金守れ　ネットセキュリティー新常識 （2014/10/1 7:00） ［有料会員限定］

• 取引に使い捨てパスワード　三菱ＵＦＪ （2014/7/23付） ［有料会員限定］

• ネット不正送金 補償上限5000万円軸 （2014/7/18 1:31） ［有料会員限定］

ネットバンキング不正取引　(三菱東京UFJ銀の顧客に被害)
三菱東京UFJ銀行(以下BTMU)の顧客を狙った不審メールが流通し、数人の顧客が実被害を受けたとのことです。BTMUのセキュリティは、大変堅固に防御策が施されていることで知られていますが、それが破られたのかと大きな衝撃を与えています。

http://itpro.nikkeibp.co.jp/article/NEWS/20110906/368221/

余り報道されていませんが、６月末から複数の地銀でネットバンキング不正取引を試みる動きが急増し、一部に実被害が発生しています。大半が個人客ですが、法人客にも一件被害が出たとされています。移動された資金は外国人らしき名義の口座から引き出されたケースが多いとのことです。といって、犯人が外国人とは限りません。判り易い話にする為、日本人がそれらしき口座を有料で入手して使うことも考えられます。http://itpro.nikkeibp.co.jp/article/NEWS/20110803/363381/

地銀のケースでは、当初、セキュリティに弱いとされる一部グループ地銀の共同システムから口座情報が流通したのかとの見方が出ました。当該ベンダーによる検証の結果、データ流出の痕跡は見つかりませんでした。キーロガー等のスパイウェアにより顧客側から口座情報、PWが盗まれたとの観測が強まっています。警察も捜査を始めていますので、被害者のPCを検証すればスパイウェアか否かが判ります。警察は遅くとも８月上旬から捜査していますので、既に、手口を掴んでいる筈ですが、いまだ何の発表もありません。

メディアの取材に対し、銀行もネットバンキング提供ベンダーも、自分には非はないと繰り返し、警察が捜査中との理由で何も答えません。ただ、Webサイト等で顧客に抽象的な注意を喚起するだけです。しかし、我々にとっては、スパイウェアやフィッシングの存在が常識であっても大半の利用者は、全く認識していません。銀行がWebサイトで警告しても、まずは見ていないでしょう。それに、ネット取引を開設する時に、安全性を強調することはあっても、お客様が油断すると被害に会いますよなどと警告することはありません。

金融庁の調査http://www.fsa.go.jp/news/23/ginkou/20110722-3.htmlによれば、ほぼ全ての銀行がログイン時と資金移動指図の際との複数認証を採用しています。　しかし、日経コンピュータが被害状況を分析したところ、実被害のあった銀行は、可変パスワードではなく、固定パスワードでした。そこで同誌は、固定パスワードの脆弱性を警告していました。

この騒ぎの中、BTMU顧客を狙うフィッシング・メールが大量に流通しているとの情報が流れました。筆者のPCにも届きましたが、既にセキュリティ・ソフトがブロックする状態になっていました。BTMUの場合は、有効性への疑問と利便性の問題からワンタイムパスワードの本格的採用を見送っており、確認番号による複数認証を行っています。仮にフィッシングでIDとPWを詐取されても、資金移動には確認番号表による二桁の数字が必要です。１００回再試行すれば認証される理屈ですが、複数回失敗すれば取引はブロックされます。それでも、同行の顧客に実被害が出たということは何が起きたのでしょう。

今回のBTMUのケースは違うそうですが、ネットバンキング不正取引の大半は、実は身内など被害者周辺の人によるものです。銀行に被害届けがあっても、調査している段階で、あの件はなかったことにしてくれと顧客から申し出てくることが多いのです。振り込め詐欺が社会問題となった時、私は判断力の衰えた老人ばかりが、被害に会うと思いこんでいました。しかし、現役の弁護士が被害にあったとの報道を見た時に、人間の機微には年齢や職業など関係ないことを認識しました。

ビッグデータの活用がブームとなり、様々なツールが低価格で流通しています。国の内外で、様々な個人情報が合法、不法を問わずに収集され流通しています。犯罪者にとっては、まさにエマージング・マーケットです。まして、メガバンクのように３、４千万人の顧客数となると日本人全員にメガバンク名でフィッシング・メールを送っても、ヒット率は２０%以上です。犯罪者にとって、これほどジューシーな層はありません。その時に、ビッグデータ解析から得た情報を使ってスピアフィッシング・メールを使えば、更にヒット率が上がります。本当に怖い状況になったものです。

こうした事態ははるか以前から想定されており、銀行界もITベンダーも様々な防御策を開発し、採用してきました。しかし、それは提供側での防御策が大半です。ネット取引においては、顧客もシステムの一部ですが、そこのリテラシーが最大のネックとなることは自明です。振り込め詐欺を見ればわかるように、これほど社会的な啓蒙運動を展開しても被害に会う人が後を絶ちません。ネットバンキングも同様でしょう。しかし、銀行としては、お客がドジなだけで自分の責任ではないと本音は言えません。可能な限り、顧客を守る措置を施さなくてはなりません。その点で、地銀や共同ネットバンク提供ベンダーの姿勢には疑問を抱かざるをえません。捜査中だからとか、手口を明らかにすると模倣犯が出るとかの理由で情報公開をためらっている間は、犯罪者にとって誠に有難い収穫期です。一刻も早い情報公開と啓蒙活動を行うことを優先すべきです。技術的にあらゆる手段を施しても、狙われれば最後には破られることを覚悟すべきです。今、なすべきことは、顧客側の防御態勢強化です。技術面も必要ですが、最も重要なのは、顧客のセキュリティ・リテラシーです。大震災の影響で日本のネットバンキングを知っている技術者が母国に戻ってしまいました。その中からネット犯罪集団に協力する者が出る可能性は否定できません。日本語障壁が下がったという事実認識が必要です。

前述の金融庁調査によれば、昨年度のネットバンキング不正取引件数は、７２件とピークである平成１９年度の２３３件から大きく減っています。今年は大巾に増えそうな状況です。昨年７２件の内、銀行は１８件に関し損害を補償し、１６件は補償しないとしています。残り３８件は調査中とのことですが、今回の地銀やBTMUの案件ではどのような対応になるのか、その理由は何かに関心が高まるでしょう。補償しない理由の大半は、顧客側に重大な過失があった場合なのですが、銀行としては、その顧客の過失を減らす努力が求められることになります。この啓蒙活動は、銀行だけでは無理で、マスコミの役割が重要です。メディアは徒らに不安だけを煽ることなく、冷静かつ客観的にリスクの所在と対策を判り易く啓蒙すべきです。

当行インターネットバンキングにおける不正取引について(1/1)

本サイトのご利用にあたって│アクセシビリティ│プライバシーポリシー│セキュリティ

トピックスIII　インターネットバンキングに係る不正送金事犯への対策

近年、インターネットバンキングに係る不正送金事犯が急増しており、警察では、徹底した取締りや、被害防止のための広報啓発活動等に取り組んでいます。

インターネットバンキングのID・パスワード等を不正に入手し、これを用いて他人の口座へ不正送金を行う事犯が急増しています。こうした状況は、インターネットバンキングの安全を損ない、その信頼を揺るがしかねないことから、警察では、取締りの徹底、金融機関等と連携した予防活動、利用者への広報啓発に取り組んでいます。

（1）インターネットバンキングに係る不正送金事犯の発生状況

①　発生件数の急増

平成23年に約3億800万円を記録した不正送金事犯の被害額は、24年に約4,800万円と減少したものの、25年に入り被害が急増し、被害額は約14億600万円と大幅に増加しました。特に同年6月以降は、毎月100件以上の被害が発生し、深刻な状況にあります。

図表III－1　インターネットバンキングに係る不正送金事犯の月別発生件数の推移（平成23～25年）

Excel形式のファイルはこちら

②　ID・パスワード等の識別符号を不正に入手する手口

他人のID・パスワード等の識別符号を不正入手する手口としては、フィッシングサイト^（注1）やコンピュータ･ウイルスを悪用するものがみられます。コンピュータ・ウイルスを悪用するものについては、24年10月頃から、正規のインターネットバンキングサイトへの接続時にID・パスワードを不正に入手するコンピュータ・ウイルスのみならず、取引等の認証に必要となる乱数表への入力等を求める不正な画面表示を行うコンピュータ・ウイルスによる被害が発生し、25年に急増しました。こうしたコンピュータ・ウイルスの中には、メールアカウントのID・パスワードも不正に入手する機能が備わっているものもあり、メールに記載されたワンタイムパスワード^（注2）が入手される被害も発生しました。

注1：金融機関と誤認させてインターネットバンキングの利用者にID・パスワード等の入力を求めるウェブサイト。同サイトへのリンクを記載したメールを送付するなどして利用者を誘導する。

注2：インターネットバンキング等における認証用のパスワードであって、認証のたびにそれを構成する文字列が変わるもの。これを導入することにより、識別符号を盗まれても次回の利用時に使用できないこととなる。

図表III－2　コンピュータ・ウイルスにより不正に表示された画面（イメージ）

③　不正送金された資金の流れ

不正送金先の口座の名義人は、約7割が中国人、約2割が日本人となっています。また、不正送金された資金については、不正送金先の口座の名義人とは異なる者により出金される事例や、不正送金先口座の名義人自らにより出金された上で、資金移動業者^（注）を介して国外へ送金されたりする事例が全体の約7割を占めています。

注：銀行等以外の一般事業者であって、為替取引（1回当たりの送金額が100万円以下のものに限る。）を業として営むことについて資金決済に関する法律第37条の登録を受けた者

事例①

中国人の男（32）らは、23年9月、不正に入手した他人のID・パスワードを用いて自らの預金口座に500万円を不正に送金した。24年10月までに、同男ら2人を電子計算機使用詐欺罪、不正アクセス禁止法^（注）違反等で逮捕した（埼玉）。

注：不正アクセス行為の禁止等に関する法律

事例②

フィリピン人の男（32）は、25年10月、自己の預金口座に不正に送金された現金について、資金移動業者を介して行った国外への送金の受け取りに必要な情報を有償で提供した。26年1月、同男を犯罪収益移転防止法違反（為替取引カード等の有償譲渡）で逮捕した（愛知）。

（2）インターネットバンキングに係る不正送金事犯に対処するための取組

①　不正送金事犯に関与した者の検挙

警察では、平成25年中、不正送金事犯に関連して、他人に利用させる意図を隠して口座を開設した者や口座を売買した者、不正に送金された資金を引き出した者、現金を回収した者、これらを指示した者計68人を検挙しています。

②　都道府県警察の協働による迅速な捜査

不正送金事犯については、送金元や送金先の口座名義人所在地、現金引出場所等が複数の都道府県警察の管轄にわたるものが多いことから、効率的な捜査を行うため、認知当初から、被害情報等を都道府県警察間で共有し、協働して捜査する必要があります。そこで、警察庁では、都道府県警察間の合同・共同捜査を積極的に推進しています。25年7月には、金融機関本店が集中する東京都内での捜査結果を関係道府県警察に提供するサイバー犯罪特別対処班を警視庁に設置して、初期捜査の迅速化を図ることとしました。

③　セキュリティ機能強化等に関する金融機関等への働き掛け

警察では、金融機関に対して、インターネットバンキングのセキュリティ機能強化のための注意喚起、不正送金に悪用される口座を凍結するための口座情報や凍結口座名義人情報の提供、資金移動業者への国外送金の審査強化に関する働き掛け等を行っています。こうした働き掛けにより、一部の金融機関で可変式パスワード生成器（トークン）を用いることで、メールを介さなくてもワンタイムパスワードを利用することが可能になるなど、セキュリティ機能の強化が図られました。

また、ウイルス対策ソフト提供事業者との情報交換を通じて、不正送金事犯に悪用されているボットネット^（注1）を把握し、当該ボットネットに組み込まれたコンピュータ等の利用者に対して、通信事業者等と連携して注意喚起を行うなどの対策を行っています。^（注2）

注1：攻撃者の命令に基づき動作するコンピュータ・ウイルス（ボット）に感染したコンピュータ及びこれらのコンピュータに攻撃者の命令を送信する指令サーバから成るネットワーク

注2：119頁参照

図表III－3　可変式パスワード生成器（トークン）（イメージ）

④　事業者等と連携した広報啓発

警察では、金融機関と連携し、ID・パスワード等の識別符号を不正に入手する各種手口について、利用者に対する注意喚起や知識の啓発に努めています。

また、留学生や技能実習生が不正送金に悪用される口座の売買や資金の引き出しに関わる事案がみられることから、その受け入れ大学、事業者等と連携した啓発を行っています。

トピックスIV　振り込め詐欺を始めとする特殊詐欺の撲滅のための取組

警察では、特殊詐欺の撲滅に向け、関係機関・団体等と連携した各種の取組を実施しています。

近年、全国的に、オレオレ詐欺や金融商品等取引名目の詐欺が多発しており、平成25年中の特殊詐欺の被害総額は約489.5億円と過去最高を記録しました。こうした厳しい情勢を踏まえ、警察では、国民が安心して暮らせるよう、増加する特殊詐欺の検挙と未然防止に向けた取組を実施しています。

（1）交付形態の現状

特殊詐欺の被害者が犯人に被害金を交付する形態には、犯人が利用する預貯金口座に振り込む「振込型」、自宅等に受け取りに来た犯人に直接手渡す「現金受取型」や「キャッシュカード受取型」及び宅配便等で送付する「現金送付型」があります。平成24年までは「振込型」が5割以上を占めていましたが、金融機関等と連携した取組^（注）等の効果もあり、「振込型」の割合は減少しました。一方、「現金受取型」による被害は増加し、25年中では、図表IV-1のとおり、「現金受取型」が「振込型」を上回りました。

注：被害が疑われる利用者に対する金融機関職員等による声掛け、1日当たりのATM利用限度額引下げ等の取組

図表IV－1　特殊詐欺の交付形態別認知状況（平成25年）

Excel形式のファイルはこちら

（2）被害防止・回復を視野に入れた取締活動の推進

警察では、こうした交付形態の変化に対応して、特殊詐欺の犯行グループに対する取締りのほか、次のような各種取組を推進しています。

①　「だまされた振り作戦^（注）」による現金受取型の犯人の検挙

警察では、犯人から電話を受け、詐欺と見破った方々に、だまされた振りを続けてもらい、自宅等に現金を受け取りに現れた犯人を検挙する「だまされた振り作戦」を実施しており、平成25年中は682件780人を検挙しました。また、同作戦により、犯人が悪用する携帯電話や預貯金口座等に関する情報を聞き出すことにより、携帯電話事業者に対する契約者確認の求めや金融機関に対する口座凍結依頼を行って犯行ツールの無力化を図る取組も行っています。

注：特殊詐欺の電話等を受け、特殊詐欺であると見破った場合に、だまされた振りをしつつ、犯人に現金等を手渡しする約束をした上で警察へ通報してもらい、自宅等の約束した場所に現れた犯人を検挙する、国民の積極的かつ自発的な協力に基づく検挙手法

②　被害金送付先リストを活用した被害防止・回復

近年、犯行グループが被害者に指示して、指定する私設私書箱等に宅配便等で現金を送付させるといった「現金送付型」の手口が増加しています。警察では、これらの犯行に悪用された私設私書箱の住所等が記載されたリストを警察庁ウェブサイトに掲載し、広く注意を呼び掛けており、郵便・宅配事業者においては、同リストを活用して、被害金が入った宅配便等の発見や警察への通報を行っています。

コラム①　特殊詐欺被害防止のための口座凍結

警察では、特殊詐欺の犯行に悪用された預貯金口座の凍結を速やかに金融機関に求め、被害金の流出を止めるとともに、その口座が再度犯行に悪用されることを防止しています。金融機関では、警察から提供された「凍結口座名義人リスト」を活用し、リストに登載された名義人から新規の口座開設の申込みがあった場合には、口座開設を拒否するとともに、最寄りの警察署へ情報を提供しています。警察においては、こうした情報を基に被疑者の検挙を図っています。

（3）官民一体となった予防活動の推進

①　広報啓発活動の推進

警察では、様々な機会を通じて特殊詐欺の手口や被害に遭わないための注意点等の情報を積極的に国民に提供しているほか、被害に遭いやすい高齢者等に対して、戸別訪問等により、直接的・個別的な広報啓発活動を推進しています。また、被害者が犯人の言うままに金銭を渡そうとするのを家族を始めとする周囲の方が制止できるよう、地域住民や企業に対して防犯指導を行い、国民に特殊詐欺の被害未然防止に向けた注意喚起をするとともに、国民自らが被害防止に向けた取組に積極的に参画することを促すなどして、犯罪に対する社会の「抵抗力」を高めています。

コラム②　捜査の過程で入手した名簿を活用した被害防止

犯行グループは、通信販売利用者の名簿等を悪用して犯行を繰り返しています。警察が捜査の過程で押収した名簿には、「ルス」、「株やってる」、「1人暮らし」等、犯人が名簿の登載者から聞き出した生活状況等が記載されているものもありました。

警察では、これら名簿の登載者に対し、警察官による戸別訪問や警察が民間委託したコールセンターからの電話連絡を行い、注意喚起するとともに、具体的な対策を指導するなどしています。

警察が押収した名簿の一例（個人情報は黒塗りしてある）

②　関係機関・団体等との連携

特殊詐欺の被害金の多くがATMや金融機関窓口を利用して送金又は出金されていることから、金融機関職員等による顧客への声掛けは、被害防止のために極めて重要です。警察では、声掛けをする際に顧客に示すチェックリスト^（注1）の提供、金融機関等の職員と協働で行う訓練等により声掛けを促進しており、その結果、図表IV-2のとおり、特殊詐欺の阻止率^（注2）は年々上昇しています。平成25年中における金融機関職員等の声掛け等による特殊詐欺被害の阻止金額は約193億円でしたが、これは現実に振り込みや現金の送付等がなされた額（被害総額）の約4割に相当するものです。

注1：「この振込（引出）は息子や孫から電話で頼まれた／はい・いいえ」等の質問項目に回答を求めるもの

注2：阻止件数を認知件数（既遂）と阻止件数の和で除した割合

図表IV－2　特殊詐欺の認知件数及び阻止件数の推移（平成21～25年）

Excel形式のファイルはこちら

コラム③　被害者を取り巻く様々な方面からの被害防止

声掛け等による被害防止は、金融機関職員によるものが全体の約8割を占めますが、それ以外の様々な場面でも行われています。コンビニエンスストア店員や警備員、タクシー運転手による声掛け、宅配事業者による現金が入っていると疑われる荷物の発見及び通報等のほか、だまされている被害者の近くに偶然居合わせた一般の方の声掛け等による被害防止事例も少なくありません。

図表IV－3　特殊詐欺の未然防止者割合(平年25年)

Excel形式のファイルはこちら

こちらも併せてご確認ください

• 暗証番号（パスワード）は厳重に管理してください
• 不審なPDFファイルが添付された電子メールにご注意ください
• 当金庫を偽装して郵送されるCD-ROMにご注意ください
• フィッシング詐欺にご注意ください
• スパイウェアにご注意ください

• 身に覚えのないメールにご注意ください
• 還付金詐欺にご注意ください
• 「振り込め詐欺救済法」への対応について
• Microsoft Internet Explorer の脆弱性について
• 金融機関のホームページを装った偽サイトにご注意ください
• お手元に長い間ご使用になっていない預金通帳・証書はございませんか？
• ｢経営者保証に関するガイドライン｣への対応方針について
• 『中小企業者等金融円滑化法』に対応した取組み方針および実施状況について
• 不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意ください
• インターネットバンキングを安全にご利用いただくために
• 金融ADR制度への対応について
• 『クレジットカードのショッピング枠の現金化』に関する広告等について
• ｢振り込め詐欺・還付金詐欺・融資保証金詐欺・架空請求｣等にはご注意ください！！
• ｢預金保険保護法｣に基づく偽造・盗難カード等による被害補償について