事業者に求められる「犯罪者がくる」視点

　決済事業を行う業者はもちろんのこと、最近は、ゆうちょ銀行の発行するデビットカード「mijica（ミヂカ）」からの不正出金も多数あり、銀行を含めた業界全体が「犯罪者がこない」ではなく、「犯罪者がくる」ことを踏まえたうえで、しっかりとした対策を施さなくてはなりません。

　今回のようなケースで、私たちが気をつけることはあるのでしょうか？ 一時期、ドコモ口座からの不正出金の方法に「リバースブルートフォース」という、暗証番号を固定しておき、口座番号を何度も入力する方法が使われたのではないかと騒がれました。暗証番号を間違えるとロックがかかりますが、これならいくら間違えてもアクセスが可能です。

　もしこれが本当ならば、私たちは推測されやすい暗証番号を使わないこと以外に、身を守る術はありません。それこそ、大パニックです。が、私は当初から懐疑的でした。これまでに地方銀行から大量の不正なアクセスがあったという話や、この手法が行われたという報告はありませんし、詐欺師たちが普段行う効率性を考える観点からも疑問符がつくからです。

フィシング詐欺の可能性が

　ドコモ口座へのチャージは1か月30万円です。これだけの攻撃をしかけて暗証番号を手に入れても、1人の客からこの金額しか取れません。数百、数千万円を詐取するために行うならわかりますが、この程度の金額のために、地方銀行へ手間のかかる繰り返しの攻撃を仕掛けるでしょうか。あまりにも割に合わない手段ではないか。本当にこの手法が銀行側の気づかないところで行われていたら、被害金額はもっと高額になってもいいのではと思うのです。

　このあたりの真相ははっきりとしていませんが、私としては、メールなどで個人情報を抜き取るフィシング詐欺をしてから、不正出金を行った可能性が高いと考えています。

　相手が差し出した情報からアクセスした方が効率もよいですし、思ったほど多くない被害金額、件数の状況からみても、うまく情報がはまった人からだけ不正な引き出しを行った結果だと思われるからです。実際に昨年末、地方銀行を騙ったフィシング詐欺メールが大量に出回っていたという報道もあります。