(※写真はイメージです/PIXTA)
増加の一途を辿る「不正ログイン事件」
不正ログインへの対策を講じるためには、まず金融業界で発生した実際の事件の内容を知り、その手口について知識を深めておく必要があります。そこで近年報道された「不正ログイン事件」をみていきましょう。
◆SBI証券
2020年の7~9月にかけて、SBI証券に口座を開設し、資産を預けていた顧客の資産が流出する事件が発生。被害に遭ったのは合計11口座、被害総額は1億円近くにも上りました。
その手口は不正アクセス。サイバー犯罪者は何らかの方法で入手した個人情報リストを元に、SBI証券内の1,000 以上のアカウントへ不正ログインが試みたことがわかっています。そのうち11アカウントへの侵入に成功した後、出金先の銀行口座を変更し、有価証券などの資産を売却しました。こうした手口のターゲットになりやすいのは「複数サイトで同一のID、パスワードを使用している人」とされています。
◆メタップスペイメント
2022年2月、メタップスペイメント社は「不正アクセスにより保有するクレジットカード情報の漏洩が確認された」と発表しました。同社はクレジットカードの決済基盤を提供しており、保有するクレジットカードの情報量は46万件以上にも及びました。サイバー犯罪者は、同社の決済データセンターサーバー内に配置されたアプリケーションの脆弱性を突き、社内管理システムへの不正ログインなどを敢行。2021年10月14日から2022年1月25日にかけて利用されたクレジットカードの番号や有効期限、コンビニやペイジー決済に必要な個人情報、そして電子マネー決済に必要なメールアドレスなどを入手したといいます。
◆イオン銀行
2021年2月、イオン銀行は「最大2,062人分の顧客情報の一部が、閲覧されていた」と発表しました。サイバー犯罪者は、同行が2018年よりウェブサイトで提供している「来店予約・オンライン相談サービス」を利用し、不正アクセスを敢行。同行はそのサービス運営のために利用していた、外部クラウド型システムの設定に不備があったことを認めました。漏洩したと考えられる顧客情報は、約2,000名分の氏名や電話番号、メールアドレスなど。またオンライン相談の内容も含まれるといいます。ただし口座番号や暗証番号などの情報漏洩はなかったとしており、大きな金銭的被害は報告されていません。
銀行情報への不正ログイン…代表的な手口、3つ
上記の内容をみてもわかるように、不正ログインにより企業や個人が実害を被るケースがあります。ではサイバー犯罪者はどのような攻撃を仕掛けているのでしょうか? その代表的な手口をみていきましょう。
フィッシング詐欺
フィッシングとは「釣り」を意味する英語。サイバー犯罪者がメールという餌を無数に蒔き、本文に掲載された誘導サイトへ消費者が食いつくのを待っている……、そんなイメージです。近年はAmazonや大手運送会社などの名を騙り、銀行口座やクレジットカードの情報を騙し取るフィッシングが横行。そして2022年9月には、三井住友銀行の名を騙るフィッシング詐欺サイトが登場しました。メールやスマートフォンのショートメッセージを通じ、消費者の口座や暗証番号を盗み取ろうとするケースが急増したのです。知名度の高い銀行を装う手口は大胆不敵であり、今後の模倣犯罪増加が憂慮されます。
クラウドサービスへの不正アクセス
サーバーなどの情報システムを社内に構築せずとも、運用が可能になるクラウドは、企業にとって魅力的なサービス。金融機関にとっても同様で、特に地方銀行での導入が相次いでいます。しかしサービスの運営側と利用側が抱える多くのアカウントを通じて不正ログインを試み、顧客情報を漏洩させようとするサイバー犯罪も発生しています。利用側にセキュリティ対策が必要なのはもちろん、確実な信頼がおける運営会社を選ぶ慎重さが求められています。
ウイルス感染
ウイルス感染の危険性はパソコン・スマートフォンユーザーに周知されており、多くの人がセキュリティソフトのインストールなど、対策を実施しています。また「ネット上の怪しい広告をクリックしない」「不正ダウンロードはしない」といったルールはすでに共通認識だといえるでしょう。しかし犯罪者の手口は巧妙化しており、フリーWi-Fiや外部メモリへの接続だけで、ウイルス感染してしまうことも。銀行口座にまつわる情報を狙うウイルスに感染したデバイスには「口座情報やワンタイムパスワードの入力画面が頻繁に表示される」などの症状が現れるため、各銀行は注意喚起を促しています。
