地域の金融機関を利用する法人がターゲットに
ネットバンキングによる不正送金の被害が急拡大している。被害額は今年5月9日までで約14億1700万円(873件)で、過去最多だった昨年の約14億600万円(1315件)を半年足らずで上回った。ターゲットにされた金融機関は16都道府県58金融機関で、昨年の32金融機関から大幅に増加。被害の対象は、都銀を中心とした個人から、地域の金融機関を利用する法人へと拡大した。
小竹氏は「法人の被害が急増している。都銀は個人の被害が多いが、地銀、信金、信組では、被害のほとんどが法人という状況だ」と説明する。被害額を法人と個人の割合でみると、法人は昨年6.9%だったものが今年は33.9%にまで拡大した。また、金融機関別に見ると、地銀では89.1%が法人であり、信金・信組にいたっては99.8%が法人の被害だ。都銀の個人口座を狙うより、預金残高が多く、対策が行き届いていないと思われる地域銀行の法人口座を狙うほうが効率がよいとの判断があるようだ。
個人口座と違って法人口座は、IDとパスワードだけではなく、電子証明書によるクライアント認証やワンタイムパスワードが必須とされている場合が多い。実際、都銀3行では電子証明書の利用が必須となっており、電子証明書をインストールしたPCでなければサイト自体にアクセスできない。電子証明書もエクスポートできない(バックアップのコピーを作成できない)ように設定したり、電子証明書にパスワードを設定したりして流出後の悪用を防ぐ仕組みがある。
ただ、地域の銀行の場合は、IDやパスワード、乱数表だけでログインできるケースもまだある。その場合、フィッシングによるIDとパスワードの詐取といった個人を狙った攻撃の手法と同じ手法が通用してしまうことになる。また、最近では、法人口座の電子証明書を不正に取得する攻撃も発生している。取引用のPCを乗っ取ったり、エクスポートが有効になった電子証明書を他のPCにインストールしたりして、不正送金を行うというものだ。
犯行グループについて、小竹氏は、5月9日時点で47事件74人を検挙したうち、41人(55.4%)が中国人だったとし「日本はインフラが整っている」と指摘した。インフラとは「中国人の出し子と中国人の口座ブローカーが次から次へと出てくる」(同氏)状況のこと。目に見える出し子とブローカーを検挙しているが、非常に厳しい状況にあるという。
出し子とは、特定の口座に送金した後、ATMから現金を引き出す者のことだ。不正送金を分類すると、この出し子による現金出金が71.3%と最も多くなっている。以前は、マネーミュールと呼ばれる資金移動業者などによる国外送金が2割ほどあったが、海外送金の規制により減り(現在は約6.0%)、「減った分がまた出し子に戻った」(同氏)という状況だ。
小竹氏は、法人口座での電子証明書の取り扱いについて、「エクスポート機能ONはダメ!」と注意を発するとともに、取引申請者と承認者との間で異なる端末を利用すること、送金限度額を必要な範囲内で引き下げること、不審なログイン履歴がないかの確認を行うことなどを呼びかけた。実施が可能な場合、事前登録送金先以外への受付日当日送金を制限することも有効だとした。
