欧米では総額で数千億円にも上る被害も報告されているネットバンキングを通じた不正送金が、とうとう日本にも本格上陸してきた。
全国銀行協会(全銀協)の調べによると、一昨年度の個人顧客の被害1億2000万円に対して、昨年度はなんと10倍の12億3400万円に増加。また、特筆すべきは法人被害の拡大だ。昨年度は34件、1億8200万円だったが、今年は状況が一変。4月だけで300件以上の被害があった。
年間では100億円を突破する可能性もあるというから、まさに“アウトブレイク”。被害の急増に対して、全銀協も先月半ばに「法人向けインターネットバンキングにおける預金等の不正な払戻しに関する補償の考え方について」をまとめたばかりだ。
IDやパスワードばかりか乱数表の数字や送金パスワードまで盗む
感染経緯は、インターネットエクスプローラーやフラッシュプレーヤーなど、ブラウザやプラグイン(あるソフトウェアに追加するソフトウェア)の脆弱性を突いて、マルウェア(悪意のあるソフトウェアの総称)を勝手に送り込まれるというものだ。IDやパスワード、法人取引に使われる電子証明書などを盗むだけでなく、偽画面を表示させて乱数表の数字や送金パスワードを入力させるように誘導する。
マルウェアの進化は著しく、「アカウント情報を盗むだけでなく、ユーザーのウェブサイト閲覧状況を監視して、金融機関のサイト情報を収集する機能を持ったものもある」(セキュリティ会社・シマンテックの浜田譲治セキュリティレスポンスシニアマネージャー)。犯罪者の多くは外国人で、日本の銀行に詳しくはないのだが、こうして金融機関情報を収集するため、今後は大手銀行だけでなく、地方銀行や信用金庫・信用組合にまで被害は拡大していくと見られる。実際、ウイルスの標的はメガバンクに加えて、現在では全国の12の地銀にも広がっていることが確認されている。
個人の被害は今のところ、全額が補償されているが、法人に対してはそこまで手厚くはできない。しかし、「法人被害のほぼすべてが中小企業」(みずほ銀行)。つまり、被害額が大きければ、会社の経営に大打撃を与えかねない。そこで全銀協は7月、法人向け補償をする際の指針を定めた。使い捨てパスワードなど、銀行が導入している対策を実施することや、基本ソフト(OS)など各種ソフトウェアを常に最新のものにすることなど6項目を挙げており、これらの対策を講じて、なお被害に遭った場合に、補償を行うという考え方だ。
りそなとみずほは補償上限5000万円保険に入って被害額をカバーする金融機関も
具体的な補償金額は銀行によってまちまちだ。りそな銀行に加え、8月に入ってみずほ銀行が「上限5000万円」と定めた。一方、上限を定めず、「個々の事例によって対応を決める」とする銀行が大半だ。
上限を定めることによって「お客様に安心感を持ってもらうとともに、セキュリティ対策に注目してもらいたい」(みずほ銀行)という狙いがあるのだが、一方で悪意のある企業が、マルウェアを流布する犯罪者と組んで、わざと感染し、上限5000万円を目指して不正送金に加担する、というシナリオも考えられなくはない。現時点では、こうしたケースは報告されていないが、“なんでもあり”なのが詐欺師の世界だ。
一方、損保と組んで保険を設定する金融機関も出てきている。体力のある大手銀行ならまだしも、地方の信用金庫・信用組合クラスがターゲットにされれば、被害者はもちろん、金融機関側の経営も無傷ではいられない。「業界を挙げて全銀協と同じ対策をしているし、保険の活用も広がっている」(全国信用金庫協会)という。
いずれにしても、金融機関側が求める対策を講じていなければ、法人被害は補償されない。すでに法人では1000万円規模の被害が起きている。「地方だから」「大手行との取引はないから」という理由で対策を怠れば、ある日突然、不正送金被害のせいで倒産してしまう――。そんな時代が来たことは、しっかりと頭に入れておかなければならないだろう。
出典元はコチラ