Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

セキュリティ機器の管理は自己責任

ネットバンキングは便利ではありますが、自己責任の部分について理解が出来ない方は、従来通りの銀行店舗での利用を原則とした方が良いかも知れません。2月22日の産経ニュースに「ネットバンキングのパスワード端末搾取」の記事がありました。

www.sankei.com

1月中旬、男性のスマートフォンに「ネット視聴料金に未払いがある」とメールが届き、男性が連絡先に電話すると「裁判になる」と言われたため計約130万円を払った

さらに弁護士を名乗る男から「あなたの預金が差し押さえられそうだ。財産保護の制度があり、利用にはネットバンキングが必要」と電話があり、2月上旬、パスワードが表示される端末を指定の住所に郵送。その後、口座から約3800万円が引き出された

(産経ニュースより引用)

 

金融分野でのセキュリティが専門になる立場から言わせて貰うと、被害者である60代男性は、「デジタル無知」なので「ネットバンク口座を開設するべきでなかった」と言いたいところです。

記事を読むとこの被害者は2度騙されています。1度目が通常の振り込め(オレオレ)詐欺。いわゆるフィッシングメールへの対応で、未払いについてメールでお知らせが来る事について、散々警鐘が鳴らされていると思うのですが、それを知らずに詐欺側が指定してきた電話番号に電話をしてお金を支払っています。

色々と(騙されている事を)気づけるチャンスがあったと思うのですが、、

・第三者に相談してない

・メールアドレス、(詐欺)文面、指定電話番号先をGoogle検索してない

・そもそも、ネット視聴者の個人情報も知らない人に請求がメールで来る事自体が

 おかしいと気づいてない

 

2度目は「詐欺にひっかかった(カモリスト)」情報が(違う業者に?)使われての被害だと思われますが、こちらも気づける可能性がいくつかあったと言えます。例えば、、、

・第三者に相談してない

・弁護士が「ネットバンキング情報を要求する」事の不自然さに気づいてない

・弁護士がそもそも実在するか「登録番号」も(多分)聞いてない

・日本弁護士連合会(日弁連)に問い合わせてない

ネットバンキングを申込時あるいは規定改定時(OTPハードウェアトークン入手時)の説明を真面目に見てない

・銀行の「ネットバンキングのパスワード端末」関連の免責規定を把握してない

・銀行に相談してない

 

まず2回も騙されているので、周りに「騙されてないか冷静に判断できそうな第三者」が居なかった、あるいは他人の言う事を聞かない人であったと思いますので、次に気づけそうなポイントで言うと、弁護士番号を聴いた上で、日弁連に相談すれば、OTPトークンを送付する前に「色々とご指導」頂けた可能性が高いといえます。おそらく、詐欺側は弁護士番号を詐称するだけで経歴詐称の罪が加算されるのでけん制になるだけでなく、弁護士番号を聞いた上で改めて「日弁連に確認した上で、電話をかけなおす為に、詐欺側の電話番号を教えろと言う」事について非常に嫌がるだろうと思います。

普通は弁護士を詐称してこない事が多いかと思いますが、銀行資産に関わるツール提供についての要求が不自然である点は、誰もが思うところではないでしょうか。

OTPトークンを渡す・・・つまり自身の重要パスワードを渡しているのと同じなのですが、その認識が無い方が、ネットバンキングを利用している事が非常に驚きです。

 

ネットバンキングの送金限度額(/日)は、銀行によって違いますが、例えば3メガバンクでは、SMBCが1000万円、みずほ銀行が500万円、BTMUが1000万円となります。この振込み上限を当初設定から変更するのにも、OTPトークンが使えますが、そのトークンを第三者に渡してしまうと・・・正直、銀行側も口座名義人本人のアクションとしての認識しか出来ないと思います。

 

■三井住友銀行

f:id:foxcafelate:20180225100317j:plain

■みずほ銀行

f:id:foxcafelate:20180225100325j:plain

■三菱東京UFJ銀行

f:id:foxcafelate:20180225100330j:plain

 

なので、例えばみずほ銀行の規約では、預金者自身の責任でのOTPトークンの厳重管理が求められています。今回の被害者が契約している銀行の規約によると思いますが、銀行側に非が無い以上、銀行からの”損害補償はされない”と考えるのが妥当だと思います。

f:id:foxcafelate:20180225100333j:plain

 

記事に載ってない銀行側に非がある情報があれば別ですが、仮にこの被害者男性の管理状態で銀行から損失補てんされるのだとすれば、自作自演でOTPトークンを第三者に渡して被害を装ったとしても、銀行側がお金を払ってくれる事になってしまいます。

 

どんなセキュリティ性が高いソリューションを導入したとしても、それを使う「人」の脆弱性を突かれたらセキュリティは破られてしまいます。金融機関だけがセキュリティを考えるのではなく、自己責任の範疇をしっかりと把握する事、自身のリスクを考えておく事も必要でしょう。

 

余談ではありますが、この被害者は普通口座に3800万円も置いておかずに、定期預金に移しておいたり、複数の金融機関に分散管理しておけば、(店頭振込みになり銀行側の窓口が気づいてくれる可能性も含めて)被害の軽減が図れたのではないでしょうか。。。まぁ資産家の考える事は私には理解できませんが。

 

悪徳商法のイラスト「振り込め詐欺・オレオレ詐欺」

 

更新履歴

  • 2018年2月25日 AM(予約投稿)