「不正送金って何?」
「不正送金の対策はどんなことをすれば良いの?」
とお思いではありませんか?
知らないうちに自分の口座の残高が別の口座に送金されていた。そんなことが起こってしまうのが不正送金です。
この記事では、
- 不正送金の主な原因
- 不正送金の対策
について紹介しています。
不正送金の被害を未然に防ぐため、自分の資産を守るためにぜひ最後までご一読ください。
不正送金とは?
不正送金とは、悪意を持った第三者が自分の銀行口座にアクセスし、口座残高をどこかへ送金する犯罪行為です。
インターネットバンキングの普及と新しい犯罪手法の開発により、被害が増えています。
警察庁と金融庁は金融機関と連携して対策してはいるものの、被害が減ることはなく、令和5年の調査では過去最高の被害額を更新しました。
不正送金の被害の現状
令和5年12月に金融庁と警視庁が連名で発表したものによると、令和5年の不正送金の被害件数は5,147件、被害総額は80.1億となり、いずれも過去最高を更新しました。
※参考:金融庁
上のグラフからわかる通り、令和5年の被害件数・金額ともに急激に増加しています。
不正送金は補償されるのか?
結論、不正送金は銀行に補償されることが多いです。
全国銀行協会が定めた『不正払戻しによる自主ルール』により、不正送金の被害を受けた場合は、銀行が損害を補償すると取り決められています。
しかし、利用者に過失がある場合は補償されない場合や一部の補償のみになるなど、その基準も金融機関によって異なります。
以下のように金融庁の調査では、インターネットバンキングの不正送金は「補償しない」こともありました。
※参考:金融庁
令和2年度~令和5年度(4月~6月)の調査で、インターネットバンキングの不正送金全体の18.2%は補償されていません。
金融機関によっては補償の基準を公式サイトに載せているところもあるため、自分が使っている金融機関のサイトを確認し対策が必要です。
不正送金はなぜ起こる?主な5つの原因
不正送金は、自分で対策している人は非常に少なく気付いたらお金が減っているということが多いです。
不正送金の主な原因としては以下の5つです。
- フィッシング詐欺の被害にあう
- SIMスワップ詐欺の被害にあう
- マルウェアなどのウイルスに感染する
- クラウドサービス等に不正アクセスされる
- 金融機関からの情報漏洩
この章で詳しく説明していきます。
【原因1】フィッシング詐欺の被害にあう
まず、代表的な不正送金の原因としてフィッシングが挙げられます。
フィッシングとは、メールやSNS等を用いて偽サイトに誘導し、銀行口座へのログイン情報を盗み出す行為です。
フィッシング詐欺のメールやサイトは精巧に作られており、注意しないと本物と見間違って情報を入力してしまう可能性があります。
覚えのないカード利用の確認メールが来た。
いままでで1番できが良い。
日本語不自然じゃないというか
本家のコピペぽい。
もうメールのリンクは全部フィッシングだと思った方がいい。
ので、見分けるために
てきとうなID&passを打ってみよう。
ログインできるから#迷惑メール #フィッシング詐欺 pic.twitter.com/k0BNovHoEl— クレシャ (@kleza108) March 18, 2024
不正送金の場合、メールに記載されたフィッシングサイトにアクセスさせ、そこで口座番号や暗証番号、ログインIDやパスワードを入力させることで銀行口座へのログイン情報を盗み出し、その情報を使って不正にログイン、送金を行います。
フィッシング詐欺については以下の記事で紹介しています。ぜひ参考にして、フィッシング詐欺に備えてください。
【原因2】SIMスワップ詐欺の被害にあう
SIMスワップ詐欺とは、SIMスワップ=アカウント乗っ取り(SIMに不正アクセスしてスマホを乗っ取ること)を利用して攻撃者自身や仲間の口座へ不正送金をする詐欺手口のことをいいます。
通常、SIMカード情報と電話番号を紐づけることでスマホを使って通話やネット通信が可能になります。
SIMカードが乗っ取られる/不正にアクセスされることによって、このSIMスワップ詐欺が行われます。
最近でも、免許証を偽造しSIMスワップ詐欺に加担したとして逮捕された事例があります。
SIMスワップ詐欺かー!
免許証偽造してSIM再発行して2段階認証突破できるの凄いな😱フィッシングサイトとフリーWi-Fiで銀行などのログインはしないように気を付けないとな💩
たまに勝手に繋がってたりするし🥲— ぺくと。 (@PECT_YT) November 3, 2023
不正者はフィッシングなど情報を入手、免許証を偽造し、SIMを再発行してSIMスワップ詐欺が行われます。
SIMを乗っ取られた場合、電話サービスの利用ができなくなるため、SMSの利用や発着信ができなくなります。異変に気づいた場合はすぐにキャリアまたはSIMサービスに確認しましょう。
以下の記事ではSIMスワップ詐欺についてを詳しく説明しています。ぜひ参考にしてみてください。
【原因3】マルウェアなどのウイルス感染に感染する
3つ目の不正送金の手口として、マルウェアや不正プログラムの利用が挙げられます。
マルウェアとは、ウイルスやMITBなどに代表される不正なコンピュータープログラムで、あなたが気づかないうちにマルウェアに感染したPCやスマホなどの情報端末デバイスから、ログイン情報が盗み出されてしまいます。
マルウェアが自分のデバイスに入る経路としては、悪質なメールの添付ファイルを開いてしまったり不正なソフトをダウンロードしてしまうことなどです。
被害の例として、パソコンなどの自分のデバイス内の情報がそのまま盗まれるケースや、銀行口座への正規のログインページが気づかないうちに不正なページに切り替わりログイン情報が盗まれているといったケースがあります。
また、同様の手法で口座へのログイン情報だけでなく、送金に必要となるワンタイムパスワードを不正に取得される場合もあり、直接的な不正送金被害が起こる可能性が高いです。
マルウエアについては以下の記事で詳しく説明しています。ぜひ参考にしてみてください。
【原因4】クラウドサービス等に不正アクセスされる
4つ目の不正送金の手口として、クラウドサービスへの不正アクセスによる情報漏えいが挙げられます。
要するに、銀行口座のログイン情報をはじめとする、様々なサービスの認証(ID/パスワード)情報をクラウドサービス上に保管している場合、そのクラウドサービスに不正アクセスが発生した時、全てのログイン情報が漏えいする可能性があるということです。
【原因5】金融機関の情報漏洩
5つ目の不正送金の手口として、金融機関による情報漏洩が挙げられます。
金融機関には、多くの顧客情報が保管されています。この顧客情報が漏洩してしまうと、不正送金や詐欺などに悪用されてしまう危険があります。
実際に、2015年には三菱東京UFJ銀行の会員制サイトのサービス運営者の預金口座で入出金明細が漏えいし、明細に記載された一部の振込依頼人(=会員制サイト等の利用者)の電話番号が架空請求詐欺に使われたという事例があります。
利用者がすぐにできる!不正送金対策7選
この章では、不正送金対策7つを紹介します。
この記事を読みながら、自分がどれくらい対策をしているか振り返り、できていないものがある場合はすぐに行いましょう。
- 使っているデバイスを最新の状態にする
- セキュリティソフトを導入する
- 多要素認証を導入する
- 金融機関の利用設定を変更する
- フィッシングメールを開かないようにする
- 取引の申請者と承認者で異なるパソコンを使用する
- 認証方法に電子証明書を導入する
の7つを紹介します。ぜひ参考にしてください。
【対策1】使っているデバイスを最新の状態にする
不正送金を防ぐためにはまず、デバイスを常に最新の状態に保つことが重要です。
悪意を持った人たちは、常に端末のセキュリティホール(プログラムの不具合や設計上のミス)を狙っています。
つまり、古いバージョンのOSなどを使い続けることは、それだけハッキングに利用される危険性や、マルウェアに感染する可能性が高くなるということです。
企業が提供するOSやソフトウェアのアップデートは、そのセキュリティホールを塞ぐ役割をしています。
そのため、使用する端末は常に最新の状態に保つことをおすすめします。
【対策2】セキュリティソフトを導入する
次に、マルウェア対策ソフトの導入をおすすめします。
セキュリティソフトを導入することで、悪意を持ったマルウェアやサイトについて自動で検知し、それらへのアクセスの遮断が行われます。
また、セキュリティソフトは日々自動検知のパターンのアップデートを繰り返しているため、最新の手法にも対応することができます。
【対策3】多要素認証を導入する
多要素認証とは、認証の要素である「知識情報」「所持情報」「生体情報」の中から、2つ以上の要素を組み合わせて認証を行う方法です。
通常必要である「知識情報」であるID・パスワードに加えて、「所持情報」である携帯電話やスマートフォンを使ったワンタイムパスワードなどの認証や「生体情報」である顔認証や虹彩(目)を使用して認証します。
多要素認証は不正者がID・パスワードを手に入れたとしても、もう一段階認証があるため、不正ログインを防ぐことができます。
以下の記事では、2段階認証の導入について、事業者向けに詳しく解説しています。ぜひご覧ください。
【対策4】金融機関の利用設定を変更する
金融機関の中には、ログインや送金をするたびにメールが届くサービスを提供しているところがあります。
不正ログインに気づき、不正送金を防ぐために、ログインや送金の通知がくるように設定しておきましょう。
メールを受け取って送金に気づき、すぐに金融機関に連絡した場合、送金を止められる可能性があります。
もし身に覚えのないログイン・送金に気が付いたら、すぐにパスワードの変更と金融機関へ連絡をしましょう。
【対策5】フィッシングメールを開かないようにする
フィッシングメールとは送信者を偽って電子メールを送信する詐欺手口のひとつで、メールに記載された偽サイトのURLへ誘導し、IDやパスワードなどの個人情報を盗み出すのが目的です。
フィッシング詐欺に引っかからないようにするためには、本物のメールとフィッシングメールを見分け、フィッシングメールを開かないようにすることが大切です。
フィッシングメールは「緊急」や「重要」といった言葉で利用者の不安をあおるような文面であることが多く、金融機関をかたるフィッシングメールは、「口座の凍結」や「利用停止」を知らせるメールが届きます。
利用者の不安をあおるような内容のメールを受け取ったら、メールを開かず、必ず公式サイトやアプリから問い合わせを行いましょう。
下記の画像は例ではありますが、ゆうちょ銀行を装ったフィッシングメールです。
フィッシングメールを見分ける方法として、以下の3つが挙げられます。
- 送信元のメールアドレスをチェックする
- 不自然な日本語を使っていないかチェックする
- 記載されているURLに違和感がないかをチェックする
メールを受け取り、少しでも怪しいと思った場合は、添付ファイルやURLを絶対にクリックしないようにしましょう。
また、以下の記事では、見分け方以外にも開いてしまった時の対処法などを解説しています。併せて参考にしてみてください。
【注意】巧妙化するフィッシングの一つ「リアルタイム型フィッシング」とは?
リアルタイム型フィッシングとは、名前の通り、利用者がIDやパスワードをフィッシングサイトに入力するのをリアルタイムで把握、入手した情報で即時にログインし、あっという間に不正送金が行われてしまうという新しいフィッシング詐欺の形です。
リアルタイムフィッシングでは、上記で紹介した多要素認証を導入しても、リアルタイムでワンタイムパスワードを把握されてしまい、不正にログインされてしまう可能性があります。
NHKの取材では、このリアルタイムフィッシングにあわないために、
- ブックマークしたサイトや公式アプリから銀行のサイトにアクセスする。
- メールを信じない、早朝や深夜に操作しない。
この二つに気を付けることが重要だそうです。
【対策6】取引の申請者と承認者とで異なるパソコンを使用する
こちらからは、企業向けに不正送金を防ぐ方法を説明していきます。
法人が不正送金を防ぐためにはまず、取引の申請者と承認者で異なるパソコンを使用することが有効です。
申請者のパソコンがマルウェア感染により乗っ取られていたとしても、承認者が許可を出さない限り、送金は行われません。
異なるパソコンを使用することにより、不正送金を一歩手前で防ぐことができます。
【対策7】認証方法に電子証明書方式を導入する
電子証明書方式とは、銀行が発行する電子証明書を法人で使用するパソコンにインストールすることによって、電子証明書をインストールしているパソコン以外からのログインを防ぐことができるというものです。
電子証明書を発行すると、ログインIDやパスワードではログインできなくなり、電子証明書がインストールされていないパソコンでログインすることができなくなります。
ログインIDやパスワードはフィッシング詐欺で入手されても気が付きにくいのに比べ、電子証明書はインストールされたパソコンを盗まれない限り不正にログインされることはなく、盗まれたとしても気づきやすいのが利点です。
一つ注意点として、銀行が指定する手順以外での利用はしないということです。銀行が指定する手順で電子証明書を使用しない場合、補償が減額されることがあります。
電子証明書方式を利用する場合は、必ず、銀行が指定する手順での利用をしましょう。
【金融機関向け】不正送金対策7選
こちらの章では、金融機関が不正送金を防ぐためにすべき7つの対策について説明していきます。
- 電子証明書のセキュリティを強化する
- ログイン時の認証を強化する
- 資金窃取を防止する運用方法を実施する
- セキュリティ対策ソフトを提供する
- 追加で認証を導入する
- 利用者へ注意喚起をする
- 不正アクセス・ログインを検知する
をご紹介します。是非参考にしてみてください。
【対策1】電子証明書のセキュリティを強化する
金融機関では電子証明書を発行することにより、不正ログインや不正送金を防止しています。
電子証明書のセキュリティを強化する方法として、以下の二つが挙げられます。
- 電子証明書をICカード等、取引に使用しているパソコンとは別の媒体、機器へ格納する方式を採用する
- 電子証明書の権限情報付き再発行を不可とする方式を採用する
※引用:全国銀行協会
電子証明書を発行するだけでなく、電子証明書のセキュリティを強化することで、より強固な対策になるでしょう。
【対策2】ログイン時の認証を強化する
認証方法を強化する方法として、ワンタイムパスワードの導入、または利用者が取引に使用しているパソコンとは別の端末・機器を用いた取引認証の導入があります。
ハードウエアトークン・ソフトウエアトークンを使用、または取引に使用しているパソコンとは別の端末を使用して電子メールの通知を送り、ワンタイムパスワードを発行しましょう。
ワンタイムパスワードを使用することにより、不正ログインを防止することができます。
【対策3】資金窃取を防止する運用方法を実施する
資金窃取を防止する運用方法の一つとして、事前登録先以外の振込先への受付日当日に送金しないことが挙げられます。
事前に登録されている振込先以外への受付日当日に送金しないことにより、不正ログインされたとしても、すぐに別の口座に移すということができません。
これにより不正送金を防ぐことができます。
ただし、利用者が取引に利用しているパソコン画面で事前登録先の変更はできないようにすることが前提です。
変更できるようになっている場合、不正者がログイン後に振込先を登録し、不正送金が起こる可能性があります。
【対策4】セキュリティ対策ソフトを提供する
セキュリティ対策ソフトを提供している銀行は増えており、利用者がソフトをダウンロードすることにより、インターネットバンキング特有のウイルス対策が可能になります。
不正送金を防ぐためにセキュリティ対策ソフトを提供し、利用者にダウンロードしてもらいましょう。
そうすることで、ウイルスの感染による不正送金を防ぐことができます。
【対策5】追加で認証を導入する
対策として、すでにある認証方法に追加して認証を導入することが挙げられます。
ここでは、トランザクション認証とリスクベース認証ついて解説していきます。
トランザクション認証とは、アカウントのログイン時ではなく、口座に送金を行う際にワンタイムパスワードを発行して認証する方法です。
サイトにログインする際と送金を行う際の2回、認証をすることによりセキュリティの強化につながります。
一方、リスクベース認証とは、サイト内で不審な行動をしているユーザーに対してのみ追加で質問を実施する不正アクセスを防ぐ方法の1つです。
リスクベース認証については以下の記事でもっと詳しく解説しています。ぜひ参考にしてみてください。
【対策6】利用者へ注意喚起をする
利用者への注意喚起も、不正送金の対策になります。
大手金融機関では、サイトやメールなどの様々な方法で注意喚起を行っています。
しかし、一点注意が必要なのが、注意喚起のメールに文面を似せたようなフィッシングメールが出回っているということです。
フィッシングメールには不安をあおるような内容が多く、注意喚起のメールも、フィッシングメールだと受け取られてしまう可能性があります。
フィッシングメールとの差別化を図り、きちんと注意を利用者に伝えるためには、公式サイトや公式アプリを通して、利用者に注意喚起をすることが最適でしょう。
【対策7】不正アクセス・ログインを検知する
不正送金を防ぐためには、不正なアクセス・ログインを検知し、不正者にアクセス・ログインをさせないことが重要です。
しかし、目視での監視は人的コストが高く、大変です。
そこで、不正ログイン検知サービス「O-MOTION」をおすすめします。
不正ログイン検知サービス「O-MOTION」は、当サイトを運営するかっこ株式会社が開発・提供している会員サイトの不正アクセスを見抜くクラウドサービスです。
「O-MOTION」は、不正なログインを防ぐことができ、実際に銀行やネット証券で導入されています。
以下では、福岡銀行の導入事例を紹介しています。ぜひお読みください。
- 福岡銀行「O-MOTION」導入インタビュー:https://frauddetection.cacco.co.jp/o-motion/case_studies/fukuokabank/
まとめ
最後になりますが、不正送金を防ぐためには利用者の対策も必要ですが、金融機関側が対策を講じる必要があります。
不正送金が起こった際、補償は金融機関がしなければいけません。不正送金の補償をすればするほど、企業の損失になります。
不正送金対策を講じることで、利用者は不正送金の被害に遭うことがなくなり、金融機関は補償する必要がなくなります。
金融機関側の対策として、不正ログイン検知サービスの導入をおすすめします。
「O-MOTION」は、金融機関の不正対策から生まれた、会員サイトの不正アクセスを見抜くクラウドサービスです。
実際に導入することにより、不正検知精度の向上とモニタリング工数削減が報告されています。
利用者・金融機関ともに万全の対策を講じて、不正送金に備えましょう。
不正ログイン検知サービス「O-MOTION」について詳しく知りたい方は、以下をクリックしてお問い合わせください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
