昨今、LINEの乗っとり被害が急増しています。便利なネットサービスが生まれる一方で、セキュリティ問題は日々深刻さを増しています。それは、「銀行の不正送金被害」においても同じです。
国内最大の金融機関である三菱東京UFJ銀行のホームページは、利用者への注意喚起を促すため、このようなゴテゴテの状態になっています。。。
ということで、今日は大切なお金を守るために、「不正送金被害の手口」と「その対策法」をご紹介したいと思います。
不正送金被害の手口
不正送金被害の手口は、大きく分けて2つあります。
いずれも、最終的にパスワードを抜き取り、ネットバンキングに不正ログインする方法です。
ウイルスによるパスワードの抜き取り
あなたのパソコンを何らかの形でコンピューターウイルスに感染させ、パスワードを抜き取る方法です。コンピューターウイルスは、不正なサイトを閲覧したり、不正なソフトをインストールした時など、あらゆる場面で感染の可能性があります。
安心できる大手企業サイトにアクセスしただけで、ウイルスに感染するケースも報告されています。これは、まず企業サイトがウイルスに感染し、そのサイトを訪れた人に飛び火する形で、ウイルスがあなたのコンピューターに侵入してきます。
コンピューターがウイルスに感染してしまうと、自由自在にパソコン内部を操作・閲覧されてしまいます。もちろん、インターネットバンキングへのログインパスワードを抜き取ることも簡単にできてしまいます。
また、パソコンの利用者はウイルスの感染に気づかないケースがほとんどです。
対策方法としては、ソフトウェアの日々のアップデートを心がけるか、ウイルス対策ソフトを使って監視を強化するしかありません。
フィッシング
「フィッシング」とは、あたかも「公式サイトからの連絡」のように装って、偽のページにアクセスさせ、あなた自身にパスワードを入力させて抜き取る方法です。銀行の公式サイトにアクセスしたつもりなのに、実は偽のサイトにアクセスしており、自らIDとパスワードを犯罪者に送信してしまうのが、フィッシングです。
フィッシングの代表例としては、
- 本物を装った偽メールを送信する
- 本物そっくりのサイトにアクセスさせる
の2つがあります。
いずれもかなり巧妙で、ぱっと見では見分けがつきません。
また、最近はまずコンピューターウイルスに感染させ、あなたが公式サイトにログインした後、自動的に偽サイトに誘導させるようなウイルスもあると言われています。
フィッシング対策で一番良いのは、「ワンタイムパスワード」を導入することです。その都度変わる使い捨てのパスワードを発行してくれるのが、ワンタイムパスワードの特徴で、多くの銀行が最近こぞって導入を進めています。
実践しておきたい対策方法まとめ
「コンピューターウイルス」と「フィッシング」。不正送金被害を招く2つの手口から身を守るための対策方法をまとめます。
1日の振込限度額を設定する
ネットバンキングでは、「1回あたりの振込限度額」、「1日あたりの振込限度額」が設定できるようになっています。日常的に大きなお金を送金する人は少ないと思います。
振込限度額を設定しておくだけで、万が一のことがあっても、被害額を最小限にすることができます。
メール通知を設定する
個人的にもっともオススメしたいのが「メール通知の設定」です。ネットバンキングでは、銀行取引が行われた時に、メールでその旨を通知する機能が用意されています。
銀行振込やATMからの出金など、あらゆる銀行取引がすぐに通知されるので、身に覚えがないメール通知が届いたら、「不正送金被害にあったのでは?」とすぐに気づくことができます。先ほどの、振込限度額設定と合わせて使うと、大きな安心に繋がります。
通知先のメールは、携帯メールが望ましいです。
例えば、コンビニATMでお金を下ろした場合、コンビニを出る前にはすでに「ATMで出金取引がありました」と携帯メールに通知がきます。
私は、限度額の設定とメール通知設定が、もっとも簡単に設定できて、一番安心できる方法だと思います。
ブックマークからアクセスする
銀行からメールで案内が届いた場合も、そのURLをクリックせずに、「ブックマーク」からアクセスすることをおすすめします。今のところ、銀行のブックマークの飛び先を書き換えるウイルスというのは耳にしたことがありません。
パソコンの場合は、「ブックマーク(お気に入り)」から、スマートフォンの場合は銀行のサイトを「ホーム画面に追加」しておき、そこからアクセスするようにするだけでも、偽サイトにアクセスしてしまう危険度は下がります。
ブックマーク以外の方法として、Google検索を経由してアクセスするのも良い方法です。例えば、「みずほ銀行」からパスワードの再設定を促すメールが届いた場合、そこに書かれているURLをクリックせず、Google検索で「みずほ銀行」と検索し、そこからアクセスするようにします。なぜこの方法が有効かというと、どれだけ巧妙に作られたサイトでも、偽のサイトはGoogleの検索結果の上位には表示されない仕組みだからです。
ワンタイムパスワードの導入
最近、銀行がこぞって導入しているのがワンタイムパスワードです。
ワンタイムパスワードとは、その時だけ使える使い捨てのパスワードのことです。
インターネットバンキングで取引するときに
- ログインID
- ログインパスワード
- ワンタイムパスワード
の3重ロックにしておくことで、不正被害を防ぎます。
万が一、コンピューターウイルス等によって、ID、パスワード、ワンタイムパスワードの3つがすべて盗まれてしまっても安心です。ワンタイムパスワードはその時しか使えないものなので、後で犯罪者が抜き取ったパスワードを使って不正ログインを試みても、すでに第3のパスワード(ワンタイムパスワード)が有効期限切れとなっており、ログインできないからです。
ワンタイムパスワードの発行方法には3種類あります。
■トークン形式(安全度:高)
キーホルダー型のトークン(ワンタイムパスワード生成)が、1分ごとにワンタイムパスワードを発行してくれます。トークンに表示されているパスワードと、銀行側のサーバーのパスワードは常に同期しているため、トークンを持っていなければ銀行取引ができない仕組みです。
もしもコンピューターがウイルスに感染していても、トークン自体は完全に分離されたものなので、ワンタイムパスワードが抜き取られることはありません。
現在、トークン型のワンタイムパスワードを採用しているのは、ゆうちょ銀行、三井住友銀行、ジャパンネット銀行、ソニー銀行などです。
■スマホアプリ形式(安全度:中)
銀行取引をする時に、常にトークンを持ち歩く必要があるのは面倒です。そこで考え出されたのが、スマホアプリによるワンタイムパスワードです。スマートフォンアプリが、ワンタイムパスワード生成機の役割を果たします。
パソコンがウイルスに感染していても、パソコンとスマホは分離されているので、ワンタイムパスワードは抜き取られません。しかし、モバイルバンキングでスマホ自体がウイルス感染していた場合、100%安全とは言えないため、トークンよりも安全度は下がります。
この方式を採用しているのは、三菱東京UFJ銀行、住信SBIネット銀行などです。
■メール形式(安全度:低)
銀行取引をする際、登録先のメールアドレスにワンタイムパスワードを通知する方法です。
この方法もワンタイムパスワードを使っている点で安全なのですが、現在「コンピューターウイルスに感染 → 登録先メールアドレスのパスワードを抜き取る → ネットバンキングのID・パスワードを盗み、さらにメールアドレス宛てに送信されたワンタイムパスワードも抜き取る」という非常に巧妙な手口が確認されていることから、安全度はやや低いです。
この方式を採用しているのは、楽天銀行などです。
このうち、ジャパンネット銀行などが採用している「トークン」を使ったワンタイムパスワード発行方法が一番セキュリティが高いと言われています。しかし、普段からトークンを持ち歩くのは面倒なので、最近ではスマホアプリを使ったワンタイムパスワードの発行方法が主流となりつつあります。
ちなみに、ジャパンネット銀行ではトークン型のワンタイムパスワード導入後、不正送金被害は一度も発生していません。
ジャパンネット銀行では、2006年に導入したトークン形式のワンタイムパスワードのご利用においては、ネットバンキング犯罪による不正出金は発生しておりません。
http://www.japannetbank.co.jp/security/security/otp.html
これがトークンです。導入済み銀行が無償発行しています。
ウイルスソフト・アップデートを最新に
コンピューターウイルスから身を守るために最も効果的なのは、
- 各ソフトウェアのアップデートを最新にする
- セキュリティ対策ソフトを導入する
の2つです。
最近はスマートフォンのウイルスも増えています。「動作が遅くなる」といった理由でスマホのアップデートを拒む人も多いですが、今後さらにスマホのコンピューターウイルス増加が予想されます。アップデート通知がきたら、早めに更新を行う癖を付けるだけで、被害を抑えられます。
また、セキュリティ対策ソフトの導入も効果的です。ウイルスバスターやノートンが代表的なソフトとして知られています。
不正送金被害 = ネット銀行ではない
不正送金被害は、いわゆる「ネット銀行」だけでおこっているのではありません。ネット銀行ではなく、「ネットバンキング」でおこっているため、すでに大手銀行を始めとする多くの金融機関が被害を受けています。
■不正送金被害にあった銀行(2013年)
特に最近は、地方銀行や法人口座が狙われるケースが急増しています。地方銀行を使っているから安心という考えは危険です。口座に預けているお金が盗られてしまっても、補償は行われませんので、何かしらの対策をしておくことをおすすめします。
さいごに
預貯金の不正送金被害額は、2014年上半期で18億円に達しています。この金額は過去最大に達しており、前年同期の9倍にもなっています。冒頭でも紹介しましたが、LINEの乗っとり被害が急拡大したように、これからも様々な「乗っ取り・不正」は増えてくると思います。
今回紹介した方法は、他のサービスにも応用できると思いますので、「ネット時代の護身術」をしっかり身につけ、大切なお金、データを守るように心がけてください。
参照
(書いた人:川原裕也)
▼ お金に関するその他の情報もクートンブログで▼