Information
SIPS Security Report

【配信日】 2020年10月5日

2020年上半期 銀行不正送金被害5億円 クレジット不正利用102億円

9月に入りキャッシュレスペイを利用し銀行口座から不正出金する事件や証券会社から本人になりすまし偽の銀行口座に出金するなどの事件が急増した。

中国ブラックマーケットでの売買情報の掲示から項目別にその数を見てみると以下のような項目が9月に入り急増している。
▼ショッピングサイトのアカウント情報の売買(10件)
▼銀行口座情報の売買(9件)
▼クレジットカード情報の売買(5件)
これらの情報はほとんどがパスワードを含む情報であり、中国ブラックマーケットへの掲示1件当たり約数十万個の個人データを保有している。

上記以外に、今年に入り中国ブラックマーケットで売買されている気になる項目は【身分証情報】【スマホ情報】【キャッシュレスペイ情報】があり、それらを不正利用したサイバー犯罪も増加している。
これらの情報があれば本人になりすました偽銀行口座は簡単にできてしまい、キャッシュレスペイや証券会社のなりすまし事件も容易に実行できてしまう。

このような情報が大量に流出している一方、各社が本人自身がアクセスしたことを確認する方法としては、SMSなどを利用しワンタイムパスワードを送る2要素認証などが多く使われている。
アクセスをした本人のスマホにSMSでパスワードを送信し、受け取った本人がそのパスワードを専用サイトで入力すればログインできるという方法である。

このような2要素認証は本当に安全なのだろうか？
6月に朝日新聞の記事で「狙われたワンタイムパスワード　勝手に送金、被害急増」という記事が掲載された。
この記事によると普段利用しているネット銀行からSMSが届き、「ネットバンキングを使うために本人確認が必要です」とあり、そこにあるURLにアクセスすると、いつも通りの銀行の画面が表示される。
画面の指示通りに、口座番号や暗証番号、事前に登録してある携帯電話番号を入力して手続き完了となり終了。
しかしアクセスしたURLは巧妙に作られた偽サイトで翌日に自分の口座から不正送金されていたことが分かったという。

これはネット銀行の口座を持つ人の携帯電話番号を含む情報が流出していて、サイバー犯罪者は携帯電話にSMSでフィッシングメッセージを送り、偽サイトに誘導し暗証番号など重要情報を入手し口座番号など間違いがないか確認する。
確認が取れた口座にログインして準備した口座に送金するという方法である。

ネット銀行では別口座に送金する場合SMS認証などを使った2要素認証を使うケースが多いが、サイバー犯罪者はこのSMS認証のメッセージを送るサーバをハッキングして悪性プログラムを設置し自らにSMSを送るようにしていたと考えられる。
このようにSMS認証やメール認証などの2要素認証も、そのワンタイムパスワードを発行するサーバがハッキングされていれば本人ではない第三者がパスワードを受け取り、むしろ危険な状況になってしまう。

中国ブラックマーケットでは【SMS認証の代行します】という掲示を頻繁に見かけるが、これはハッカーが認証サーバをハッキングするなどしてSMS認証で送られるワンタイムパスワードを取得できるということで、まさに上記のような場合に利用されているというわけである。

サイバー犯罪者は、ネット銀行の場合直接任意の口座にログインして限度額の範囲で送金ができることから大きなお金を簡単に動かすのには都合がよい。
しかし、ログインをはじめ出入金や送金が発生すると登録したメールアドレスに通知が行くようになっているため、サイバー犯罪者としてもリスクが高い。
もちろんそれまでも攻撃者の指定する場所に送信していれば別の話だが・・・

そこで考えられたのがキャッシュレス決済の仕組みを利用した不正利用なのではないだろうか。 銀行側から見れば他の引き落としと同様で不正には見えない。キャッシュレスペイ側ではチャージした内容を本人に通知しても本人が銀行口座を確認するまで不正は発覚しないため時間を要しリスクが低くなる。
まして対象のキャッシュレスを使っていなくネット銀行ではない銀行口座であれば、口座名義本人が口座の残高確認し気付くまで発覚しない・・・というわけだ。

クレジットカードの不正利用に関しても同様の手口が良く使われる。「サイトのアカウントがロックされました」「お客様の荷物を持ち帰りました」「不正なログインがありました」などのメールやメッセージを送りフィッシングサイトに誘導して情報を搾取する方法である。
筆者のところにもAmazon、楽天、宅急便、PayPayなど様々なところからメールやSMSが届くが、よく見ると送信元メールアドレスやアクセスさせるURLのドメインが正規のものではないなどフィッシングであることが確認できる。

不正アクセスのニュースで検索すると、「こんなに・・・」と思うくらいニュースがあり、「サーバがハッキングされて情報流出」というニュースを見ない日がない位多くヒットする。
中でもショッピングサイトのハッキング事件は多くクレジットカード情報の流出などは日常茶飯事である。
中国ブラックマーケットでは【クレジットカード情報の売買】に関する掲示も頻繁に発生しているので、自分のカードが不正利用されていないか頻繁にチェックすることをお奨めする。

フィッシングに関しては個人のセキュリティ意識の問題で、一人一人が気を付けるしか方法はない。
しかしサーバのハッキングによる情報流出は企業の問題であり、いつまで経っても後を絶たず、増加の一途である現実は対策を打たない企業側に責任があると言ってよい。

企業は通常どこかのISPなどのサービスによりサーバを借りて運用するケースがほとんどである。
各ISPは一定のセキュリティ対策は実施するものの、借主のサーバに関してはノータッチ。
借主各社のサーバに対しては専用のセキュリティプランを契約しない限り、借主がセキュリティ対策を取らなければならない。
仮に借主のサーバがハッキングされていたとしてもISP側から通知を受けることはほとんどないのである。

しかもニュースに出ているハッキングされた会社のサーバを確認すると大体有名なISPを利用していて毎回同じ名前が出てくる。
SIPSの調査でハッキングされているサーバ数が多い企業(ISP)が流出事故が多いと感じるのは、やはり何か問題があるからなのではないだろうか。
SIPSで確認した【ハッキングされているサーバ】の日本のISP数は200社を超えている。
つまりどこのISPを使っても借主がハッキングされる可能性(リスク)は高くなる。
このような状況が減るどころか毎年増加しているのを見ると残念でならない。

10月1日警視庁が今年上半期(1～6月)に全国の警察が扱ったサイバー犯罪に関して発表したが新型コロナウイルスに関連した検挙や相談事案は計608件を確認。
インターネットバンキングを悪用した第三者による不正送金は885件で、被害総額は約5億1200万円に上るとなっている。
日本クレジット協会が発表した2020年上半期(1月～6月)の不正利用被害の集計結果によると被害額は119億4000万円で、そのうち番号盗用による被害は102億4000万円になっている。
だがこの数字も表面的な一部に過ぎない。

デジタル庁創設で一層デジタル化は進むだろう、しかし「木を見て森を見ず」と言われないように今一度考えなければ大変なことになると警告しておきたい。

明日はどこがハッキングされて被害を受けるのだろう。
コロナ禍で大きなダメージを受けている今だからこそ真摯に受け止め自己防衛を考えなければ、会社の存続問題にもなりかねない。

　<参考URL>
朝日新聞：2020/6/12
狙われたワンタイムパスワード　勝手に送金、被害急増
https://www.asahi.com/articles/ASN6D5S7LN5TOIPE026.html?iref=pc_rellink_04

JIJI.COM：2020/10/1
サイバー犯罪、コロナ関連６０８件　上半期、４４都道府県で確認―警察庁
https://www.jiji.com/jc/article?k=2020100100420&g=soc

一般社団法人日本クレジット協会：2020/9/30　※PDF資料
クレジットカード不正利用被害の集計結果(2020年4月～6月分)及び構成比の訂正(2018年)について
https://www.j-credit.or.jp/download/news20200930c.pdf