欧米では総額で数千億円にも上る被害も報告されているネットバンキングを通じた不正送金が、とうとう日本にも本格上陸してきた。
全国銀行協会(全銀協)の調べによると、一昨年度の個人顧客の被害1億2000万円に対して、昨年度はなんと10倍の12億3400万円に増加。また、特筆すべきは法人被害の拡大だ。昨年度は34件、1億8200万円だったが、今年は状況が一変。4月だけで300件以上の被害があった。年間では100億円を突破する可能性もあるというから、まさに“アウトブレイク”。被害の急増に対して、全銀協も先月半ばに「法人向けインターネットバンキングにおける預金等の不正な払戻しに関する補償の考え方について」をまとめたばかりだ。
IDやパスワードばかりか
乱数表の数字や送金パスワードまで盗む
感染経緯は、インターネットエクスプローラーやフラッシュプレーヤーなど、ブラウザやプラグイン(あるソフトウェアに追加するソフトウェア)の脆弱性を突いて、マルウェア(悪意のあるソフトウェアの総称)を勝手に送り込まれるというものだ。IDやパスワード、法人取引に使われる電子証明書などを盗むだけでなく、偽画面を表示させて乱数表の数字や送金パスワードを入力させるように誘導する。
マルウェアの進化は著しく、「アカウント情報を盗むだけでなく、ユーザーのウェブサイト閲覧状況を監視して、金融機関のサイト情報を収集する機能を持ったものもある」(セキュリティ会社・シマンテックの浜田譲治セキュリティレスポンスシニアマネージャー)。犯罪者の多くは外国人で、日本の銀行に詳しくはないのだが、こうして金融機関情報を収集するため、今後は大手銀行だけでなく、地方銀行や信用金庫・信用組合にまで被害は拡大していくと見られる。実際、ウイルスの標的はメガバンクに加えて、現在では全国の12の地銀にも広がっていることが確認されている。
個人の被害は今のところ、全額が補償されているが、法人に対してはそこまで手厚くはできない。しかし、「法人被害のほぼすべてが中小企業」(みずほ銀行)。つまり、被害額が大きければ、会社の経営に大打撃を与えかねない。そこで全銀協は7月、法人向け補償をする際の指針を定めた。使い捨てパスワードなど、銀行が導入している対策を実施することや、基本ソフト(OS)など各種ソフトウェアを常に最新のものにすることなど6項目を挙げており、これらの対策を講じて、なお被害に遭った場合に、補償を行うという考え方だ。