あなたがインターネットバンキングを利用しているとき、突然、振込などの取引を一時的に制限・遅延されたり、サービス利用を停止させられたりして困ったという経験はないだろうか。あるいは最近、銀行から“振込時間を制限します”や“限度額を強制的に引き下げます”などの連絡が来て、「不便なことするな」と思ったことがあるかもしれない。
IT活用によって世の中は便利になっているが、それに逆行するこうした事態の裏には、やはりサイバー犯罪が関係している。上記の例は不正な送金が多発して多くの銀行がその対処に追われていたのが原因だ。
金融機関におけるサイバー犯罪は私たちの資産そのものが狙われる重大なリスクだ。もはや犯罪者は成功率の低い銀行強盗などではなく、フィッシングといったサイバー犯罪へと主軸を移している。このような状況では個別の銀行がそれぞれに対策をしていては後手に回ってしまう。
そこで金融機関は、業界内での情報共有や連携を図るための組織「金融ISAC」を立ち上げ、その中で横のつながりを作っている。今回、特に身近な犯罪である「フィッシング」に関して金融ISACのメンバーが座談会形式で情報共有する場に参加し、話を聞いた。
参加銀行や参加者の名前は具体的に出せないメンバーもいるが、私たちの資産をメガバンクやネットバンクのセキュリティ担当者たち、そしてフィッシングハンターたちはどう守ろうとしているのか。現場の最前線で考えられていることを読者にも共有したいと思う。
●「これまでとレベルが違う」 ユーザーが知るべき不正送金と最新攻撃の実態
座談会では、はじめに金融ISACの岩本俊二氏(不正送金対策WG座長兼、PayPay銀行のIT本部副本部長 CSIRTリーダー)が不正送金の現状を語った。
岩本氏によると、2023年は不正送金額が1~6月の上半期だけで過去最多を記録する事態に追い込まれているという。被害額は約30億円であり、複数のインターネットバンキングでサービス制限が実施されたのは、正にこれが原因だ。岩本氏は「(こうした取り組みをしていても)フィッシングは止まりません。これまでとレベルが違います」と厳しい現状を語る。
従来は暗号資産業者などが不正送金の振込先の口座に悪用にされる傾向が強かったが、対策が進んだことでターゲットは「個人口座」や「法人口座」にも移行しつつある。攻撃手法は電子メールでのフィッシング、そしてSMSを利用したフィッシングである「スミッシング」が主だという。
サイバー犯罪者はフィッシングにおいて偽の電子メールを送って口座情報を窃取しようとする。例えば最近、マネーロンダリング対策として取引目的を確認するという銀行の業務を装い、偽の確認作業メールを送る手口が見られる。
「継続的顧客管理の中では顧客の氏名や住所、金融資産や年収などの情報を聞いています。これを装った偽の連絡にだまされてしまうと、犯罪者に重要情報を根こそぎ持っていかれてしまうわけです。その他、顧客の口座や入出金が制限されたことを装い連絡をしてきて、制限を解除するためには本人確認が必要だとし、個人情報を入力させるケースもあります」(岩本氏)
これを聞くと「ここまで分かっているのになぜ引っ掛かってしまうのか」と考える読者もいるはずだ。しかし岩本氏によると、フィッシングサイトに誘導する電子メールの文面だけでも10数パターンあり“特定の文面が危ない”といった単純な注意喚起では周知が難しいという。
座談会メンバーであるみずほフィナンシャルグループの八子浩之氏は「他行の事例では、銀行の名前をかたった電子メールが送られてきますが、その先のフィッシングサイトではクレジットカード会社のものになっているケースも確認されています。個社単体での対応ではなく、ブランド全体での注意喚起などの対策が必要です」と話す。
こうした悪質な電子メールの中には文面に制御文字が含まれていて、見た目は普通でも迷惑メールフィルターなどで検知されないように工夫をしているものもある。「Gmail」などではこれらは迷惑メールとして判定されることもあるが、他の電子メールサービスでは検知が低い場合もあり、利用者にとって注意が必要だ(もちろんGmailで検知されないケースもある)。
その他、フィッシング以外にも、特に最近話題になっている「サポート詐欺」や「偽ショッピングサイト詐欺」にも警戒する必要がある。また、現在はキャッシュカードがなくても、スマートフォンで出金できるATM(セブン銀行の「スマホATM」機能)もあるが、スマートフォンにこの機能を不正にひも付けることによる不正出金被害が発生しており、この手法についても狙われ始めている。
これらの犯罪に対して金融機関側は対策をしていないわけではない。金融機関として苦渋の対策としては、冒頭に取り上げたように「取引を遅らせる」という手段で対抗している。これは即時送金を実行するのではなく、翌営業日へと送金を遅らせたり、送金先口座の登録・変更後には24時間の送金保留を発生させたりすることで使い勝手を低下させるものだ。これによって、犯人側がすぐに金銭を手に入れるのを遅らせることで犯人側のモチベーションを低下させるだけでなく、銀行側のモニタリングの時間を稼ぐことで、不正な送金を防止できる。
これに加えて、フィッシングサイトを24時間365日監視してテイクダウンしたり、送金のモニタリングを実施して、ルールも夜間含め機動的に変更したりしている銀行も多く存在している。
●巧妙化する攻撃に対して消費者ができることはあるか?
この現状を踏まえ、「消費者」にはできることは少ないのが実情だ。だが、その中でもできることとして座談会に参加したフィッシングハンターは「見分けない」ことを推奨する。
「銀行は電子メールやSMSで何らかのサービスにログインを促したり、緊急の判断を求めたりすることはありません。消費者はこれらの誘導を全て無視するぐらいでちょうどいいでしょう。もちろん常に詐欺かもしれないという意識を持ち、脅威へのアンテナを張り続けることも必要です」(フィッシングハンター)
その上で無視していいのか心配であれば窓口に問い合わせたり、公式HPで調べたコールセンターに電話したりするなど、情報が流れてきたルートとは異なる方法で処理する方法も有効だ。
「正直、『不審な電子メールアドレスやフィッシングサイトに気を付けましょう』というのはもう難しいと言えます。正規であっても偽であっても、もはや『見分けない』ことが大事です」(フィッシングハンター)
八子氏は「サービスなどにログインするときには、登録したブックマークから公式サイトにアクセスしてログインすることや、『公式アプリ』をインストールして、必ずそちらからログインすること、多要素認証などの銀行が推奨するセキュリティ対策を講じることが有効でしょう」と話す。
その他の対策でいえば、例えば金融機関で使う電子メールアドレスを専用にするという手もある。普段は使っておらず表には出していない電子メールアドレスに変更することで、普段使っているメールボックスにやってくる金融機関からの電子メールは全てフィッシングだと判断できる。
「フィッシングには誰もがだまされる可能性があります。疑わしい場合はまず、スクリーンショットを取って、知人や信頼できる人に相談することを推奨します。最近ではワンタイムパスワードとともに、振込先口座や金額などをセットで送信する銀行もあるので、それに“きちんと”目を通しておけば不正送金の拡大防止や停止につながるはずです」(フィッシングハンター)
岩本氏によると、多くのフィッシングは無視できないような理由をでっち上げ、緊急の用件と見せかけることで、こちらの正常な判断力を奪ってくるという。だが、本当にそういった無視できない重要なお知らせは近年、サービスサイトやアプリに直接掲載されるケースが増えているということを消費者は覚えておくといいだろう。
●金融機関を悩ませる“オンラインカジノ”が絡む不正送金被害
その他、フィッシングのような不正送金ではないものの金融機関を悩ませているのが「オンラインカジノ」が関係すると思われる不正送金被害だ。海外のオンラインカジノはオンラインバンキングを勝手にスクレイピングすることで金融機関に接続していると分析されている。中には振り込んだら出金ができないような悪意のある怪しいWebサイトも存在する。利用者が海外のオンラインカジノにアカウントを作る際、カジノサイト側にオンラインバンキングに必要なログイン情報やワンタイムパスワードも含めて認証情報を全て渡してしまい、結果としてそれが不正送金に悪用されている可能性が高いケースが多発している。もちろん国内でのオンラインカジノの利用は違法(賭博罪)だ。
みずほフィナンシャルグループの竹内 司氏(サイバーセキュリティ統括部 サイバーレスポンスチーム 調査役)は「これは当行に限った話ではありませんが、最初は『見覚えのない取引がある。自分は送金した覚えがない』という相談が銀行に寄せられることがあります。フィッシングなど被害の他に、いろいろ深掘りしていくと「オンラインカジノの利用があった」という共通点が発覚するケースがあります。利用者本人は後ろめたいことをしている自覚があるようで最初は『ゲームの課金です』と言われ、それ以上詳細についてはお話しいただけないことがあり、被害の発覚や調査が遅くなってしまいます」と語る。
また竹内氏は、「銀行としては、銀行への被害の申告と同時に、最寄りの警察にも並行して申告いただくことを必須としています。しかしオンラインカジノなどのケースですと、それを伝えると利用者も口ごもってしまう。そういう顧客は銀行や警察に被害として認知されず統計には出てこないが、多くいるのかもしれません」とも話す。
この問題はオンラインカジノのIPアドレスを遮断するだけでは解決しない。IPアドレスを遮断するにしてもオンラインカジノに関係すると思われる収納代行業者が多く存在し、銀行からすれば、その先にオンラインカジノがあるのかどうかを判断することは難しいからだ。しかしこれを放置してしまうと「『銀行は対策が緩いと思われてしまう』ので警察や金融機関で連携して対処していきたい」(竹内氏)
●今後も官民連携で不正送金対策に取り組んでいく
現在、各行は金融ISACという情報共有の場を活用しながら不正送金対策に取り組んでいる。サイバー犯罪だけでなくテクニカルサポート詐欺や副業詐欺、オンラインカジノなどさまざまな方向から不審な活動が見つかり、その都度対策が講じられている。日本サイバー犯罪対策センター(JC3)などの機関との官民連携もその一つだ。
サイバー犯罪者の最終ゴールは「金銭」であり、その金銭を取り扱う金融機関は常に最前線でサイバー犯罪を受け、顧客の資産を守るために対策を施すメンバーがいる。座談会に参加するフィッシングハンターは「もはや年齢層は関係なく、若い人もだまされます。見分けられないのが当たり前で、誰もが引っ掛かるものです。甘い言葉や対応を焦らせる内容には特に注意してほしいです」と注意喚起する。
金融機関の場合、攻撃者に対策が漏れないよう、対策の詳細を伝えにくい上に、即座に対策を打たねば秒単位で不正送金が実行されてしまうため、いきなりサービスが止められることも多くなってきた。利用者から見ると冒頭の例のように、サービスの劣化や停止が無告知で行われ、SNSで多くの不満が噴出することになってしまう。
しかし、その裏では通常の利用者はもちろん、注意喚起をしてもフィッシングや詐欺に引っ掛かってしまう利用者を守るため、犯罪者との熾烈(しれつ)な闘いが発生している。
完璧な防御手法が存在しない今、利用者もフィッシングの手口を学び、公式サイトや公式アプリからのログインなど、「見分けない」ことを前提にした対策を講じていく必要があるだろう。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。