文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    ネットバンキング30億円被害…背景に対策の甘さ

     ネットバンキング不正送金の被害が、初めて30億円を超えた。信用金庫・信用組合などでの法人口座の大口被害が目立つ。背景には小規模な金融機関が狙われていること、セキュリティー対策が甘いことなどがある。(ITジャーナリスト・三上洋)

    不正送金、史上最悪の被害額

    • ネットバンキング不正送金被害額の月別推移。平成27年に入って新型ウイルスの登場などによって急激に増えた
      ネットバンキング不正送金被害額の月別推移。平成27年に入って新型ウイルスの登場などによって急激に増えた

     ネットバンキング不正送金の年間被害額が、初めて30億円を突破した。3月3日に発表された警察庁の「平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について」によれば、平成27年のネットバンキング不正送金事件は1495件で、被害額は約30億7300万円と、史上最悪の被害額となっている(前年の被害額は約29億1000万円)。

     図は月別被害額の推移だ。平成26年下半期は、警察による中継サーバー(不正送金ウイルスの遠隔操作などに使われる国内業者)取り締まりや銀行側の対策などにより、被害は減少傾向にあった。しかし平成27年に入ると急激に拡大した。年間を通してだと30億円を突破した形だ。被害額が再び増えた理由は、大きく分けて2つある。

    ●ネットバンキング不正送金が史上最悪となった2つの理由

    1:信金・信組、農協や労金など小規模金融機関が狙われている

     ネットバンキング不正送金では当初は都市銀行が狙われていたが、年を追うに連れて中小の金融機関が狙われるようになった。平成27年中に被害を受けた金融機関は223機関で、前年の102機関より2倍以上に増えた。信用組合・信用金庫がターゲットになっているほか、初めて農協や労金でも被害が出ている。小規模金融機関のネットバンキングでは、ワンタイムパスワードがないことや、不正プログラムへの対策が甘いなど、セキュリティー対策が十分でないことが問題だ。犯人側も信金・信組を狙うウイルスをバラまいている。

    • 被害金融機関の内訳。信金・信組が大幅に増えたほか、初めて農協・労金でも被害が出た
      被害金融機関の内訳。信金・信組が大幅に増えたほか、初めて農協・労金でも被害が出た

    2:法人口座での大口被害が目立つ…9100万円被害も

     企業のネットバンキング口座での被害が増えていることも原因の1つだ。前年の法人被害額は約10億8800万円だったが、平成27年には約14億6600万円に増えている。法人口座から9100万円が盗み取られた事件もあり、個人に比べると1件あたりの被害額が大きくなっている。犯人としても個人で小さく狙うより、企業の銀行口座で大きく稼いだほうがいいとの判断もあるだろう。犯人グループは法人口座が多い信用金庫を狙っている。

    • 金融機関別の被害状況。信金・信組の被害額が大幅に増え、その結果として法人の被害も拡大した
      金融機関別の被害状況。信金・信組の被害額が大幅に増え、その結果として法人の被害も拡大した

     特に信金・信組の被害が急激に拡大していることに注意すべきだ。平成26年の信金・信組の被害額は約1億2300万円だったが、平成27年は約9億4000万円と7倍以上に増えた。中小企業を抱える信金・信組は、今すぐネットバンキング不正送金への対策をしっかり行うべきだろう。

     ネットバンキング不正送金の多くは専用のコンピューターウイルス(ネットバンキング詐欺ツール)によるものだが、偽サイトでIDとパスワードを盗み取るフィッシングサイト(偽サイト)での被害もある。スマートフォンのSMS(ショートメッセージサービス)を使って偽サイトに誘導するパターンが初めて確認されており、スマホでの被害も警戒する必要がある。

    セキュリティー対策が必須…まずはワンタイムパスワード・電子証明書から

     警察庁では被害者のセキュリティー対策実施状況も調べている。それによると、個人ではワンタイムパスワード、法人では電子証明書を利用していない被害者が多かった。セキュリティー対策が甘い個人・法人が被害に遭っているのだ。

    • 被害者のセキュリティー対策状況。個人ではワンタイムパスワードを利用していない、法人では電子証明書を利用していない人が多かった
      被害者のセキュリティー対策状況。個人ではワンタイムパスワードを利用していない、法人では電子証明書を利用していない人が多かった

     まず個人ではワンタイムパスワードを利用していない人が全体の75%を占めた。ワンタイムパスワードは1分ごとにパスワードが変更されるもので、トークンと呼ばれる電卓のような機器を使ってパスワードを入力し、振り込みやログインなどを行うものだ。ID・パスワードを盗み取るネットバンキング不正送金には一定の抑止効果がある。

     ワンタイムパスワードは都市銀行では全員に無料提供されている場合もあるが、任意で有料だったり、そもそもワンタイムパスワードに対応していなかったりする金融機関もある。被害が多い信用金庫などでは、ワンタイムパスワードの早期導入が望まれる。またユーザーとしてもできるだけワンタイムパスワードを利用したい。

     法人では、ネットバンキングにアクセスするパソコンを限定する電子証明書の利用が推奨されている。しかし不正送金被害に遭った法人のうち、67.8%が電子証明書を利用していなかった。電子証明書を利用していないセキュリティー対策の甘い企業が被害に遭っていると言えるだろう。

     ただし、ワンタイムパスワード・電子証明書を利用していても被害に遭う。ワンタイムパスワードでは自動化されたウイルスによってワンタイムパスワードを盗み取られ、一瞬の間に送金されてしまうことがある。警察庁のまとめでも、個人被害の118件はワンタイムパスワードを使っていたのに被害に遭っていた。

     また電子証明書でも、ウイルスが電子証明書を削除して再発行の隙に電子証明書を盗み取るなどの手口が使われている。法人被害のうち47件は電子証明書を利用していても被害に遭っていた。

     このようにワンタイムパスワード・電子証明書は一定の抑止効果はあるものの、パーフェクトな対策にはならない。ネットバンキング不正送金への対策としては「ウイルス対策をしっかりすること」が最重要になる。

    ネットバンキング不正送金への対策は、第一にウイルス対策

     ネットバンキング不正送金の多くは、ウイルス(不正プログラム)によるものだ。各金融機関にカスタマイズされたウイルスが用意されており、正規の金融機関のサイトを表示した時に、サイト内容の書き換え、ID・パスワードの盗み取り、振込先の変更先などを行う。

     これらのウイルスは、スパム(迷惑メール)やウェブサイト閲覧で感染する。たとえば2月上旬から問題になっている日本郵政を(かた)る偽メールでは、ネットバンキング不正送金ウイルスが添付されていた。また以前に大手旅行サイトが改ざんされ、閲覧者をネットバンキング不正送金ウイルスに感染させるパターンもあった。

     そのため対策の第一は、ウイルス対策をしっかりすることだ。その上でワンタイムパスワード・電子証明書の利用、メールのURLをクリックしないなどが大切になる。

    ●ネットバンキング不正送金の被害に遭わないための対策

    1:ウイルス対策ソフトを必ず導入。Macでも必須。ふるまい検知などがある有料ソフトを推奨

     ウイルス対策ソフトを導入し、必ず契約すること。パソコンについてきた体験版ではダメ。無料のウイルス対策ソフトは機能が低い場合が多いため推奨しない。ふるまい検知・不正サイトのアクセスブロック機能がある有料のウイルス対策ソフトを推奨したい。Macでもぜひ導入してほしい。

    2:各種ソフトを自動更新にして、表示が出たらすぐにアップデート

     OS(基本ソフト)、ブラウザー、Java、Flash、PDF表示などのソフトウェアを常に最新版にする。旧バージョンだとウイルスに感染しやすくなるからだ。各ソフトの設定で自動更新を選び、更新の表示が出た場合には即アップデートすること。

    3:個人ではワンタイムパスワード、法人では電子証明書を

     ネットバンキング利用には、個人ではワンタイムパスワード、法人では電子証明書の利用が望ましい。金融機関が用意していない場合は、ネットバンキングの利用自体をやめることや他行に移ることも検討してほしい。

    4:メール、SMSなどのメッセージのURLをクリックしない

     メールやSMSなどで金融機関から通知が来ても、URLをクリックしないこと。本物が偽物か判断できればいいが、判断できないこともあるので、URLをクリックせず自分の手で本物のサイトにアクセスすることが大切だ。

     4月から新社会人として口座を作る人も多いだろう。ネットバンキング不正送金の被害に遭わないために、上記の4つをぜひ覚えておいてほしい。

    参考記事

    平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について:警察庁(PDF文書)

    郵政偽メールはネット銀行ウイルスだった:サイバー護身術

    ネットバンキング不正送金再び増加:サイバー脅威動向:サイバー護身術

    2016年03月04日 18時07分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    2018年を彩るカレンダーをプレゼント!