【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。
******
完全に情報セキュリティ寄りの話になるが、9月に入り銀行口座から電子マネー口座への不正引き出しという、「むむむ・・・」と言わざるを得ないニュースが舞い込んで来た。
被害は日々拡大しているようだが、全容解明には至っておらず、判明している問題点もかなり分かりづらい。分かっている範囲でざっくり言うと下記のような手口である。
1 悪意の第三者が、正規銀行口座の情報(口座番号、預金者名義、キャッシュカード暗証番号など)を入手。
2 1で入手した情報(預金者名義)を一部使用して電子マネー口座を新規開設。
3 1で入手した情報(口座番号、キャッシュカード暗証番号など)を利用し、正規銀行口座と2で開設した電子マネー口座との連携(Web口座振替など)。
4 正規銀行口座から2で開設した電子マネー口座へ不正出金。
銀行口座開設時の本人確認はしっかりされているはずだが、上記3の口座連携時に確認すべき、「電子マネー口座所有者=連携先の銀行口座の所有者」であるという確認が、実はとっくに漏えいしている口座番号や預金者名義、暗証番号などで行われる仕組みであったことが穴となり悪用されてしまった。
キャッシュカードの口座番号や暗証番号がハックされたとしても、カードや通帳、銀行印というブツそのものを手に入れることが難しいため、従来はその情報を使用して出金する方法に乏しかった(カード偽造くらい)。
しかし前述の通り、誰でも作れる電子マネー口座との連携を悪用することで出金手段が出来てしまったのが、今回のケースである。
3の電子マネー口座との連携時にSMSやアプリを利用した二要素認証が実装されていれば、攻撃のハードルが増える分セキュリティが増すのだが、多くのケースではそうなっていなかった。
使ってもらいたいがゆえに利便性が優先された結果なのかもしれないが、今後はよりセキュリティに重点を置いたルールとなっていくだろう。
では現時点で利用者側に出来る、被害に合わないために心掛けるべきことは何だろうか。
クレジットカード番号と違い、キャッシュカードの口座番号を日常で使用する場面というのはそれほど多くない。
考えられるのは、ATM等にしかけられた物理的なスキミング装置や盗み見、ブラウザで不正フォームを表示させて騙して入力させるオンラインスキミングとなる。
(※スキミングとはキャッシュカードの磁気情報を盗み取る行為のことである)
物理的なスキミングの対策としては、装置や小型カメラが設置されづらい、監視員が常駐しているような銀行のATMを利用するとリスクを下げることが出来る。コンビニATMや出張所的なATMはリスクが高いとオレ的には考えている。
また非接触型のカード情報をカバン越しに読み取るようなスキミング装置も存在する。対策グッズとして電波の送受信を妨害するスキミング防止カードやカードケースが開発されているので、利用すると効果は抜群だ。
ブラウザの不正フォーム表示によるオンラインスキミングについては、自分が実際に開こうとしたWebサイトとは関わりなく、自分のブラウザ側で不正プログラムが動いて不正フォームが表示されるケースが多いため、自分が最大限注意するしかない。
ブラウザでキャッシュカード番号を入力する機会というのはそれほどあるものでもないと思うが、入力する場合には、「本当に今自分がキャッシュカード情報を入力する必要があるか?」を再確認すべきだ。
とにかくこの件については何をすることで身を守ることになるのかが非常に分かりづらい。
電子マネー口座を自分が持っているかどうかも全く関係ない。
根本的にはキャッシュカード情報を守るしかないとおれは思う。
他にやれることはあまり無いが、漏えいした心当たりがある方やどうしても不安な方は、
・口座を見張って身に覚えのない出金が無いかを常に確認する
・口座を作り直す
・これまで被害が公表されていない銀行の口座にまとめる
・電子マネー口座と連携出来ない定期預金等の口座に移す
などを検討しても良いかもしれない。
電子マネーに限らず新しい分野のサービスについては必ず今後インターネットと繋がっていく。
それに伴い攻撃者のターゲットとなることもあるだろうし、何かしら問題が出ることも多いだろう。
使う側としても自分の身は自分で守ることを常日頃から心掛けるようにしたい。
