オンラインバンキングを利用している人は注意です。
日経新聞 2020年2月6日夕刊
インターネットバンキングの口座から預金を不正送金する2019年の被害が前年比4.4倍の20億3200万円(暫定値)に急増したことが6日、警察庁のまとめで分かった。「ワンタイムパスワード」を破る手口が横行し、被害額は4年ぶりに増加した。金融機関は不正送金を防ぐため、顔や指紋で本人確認する生体認証の普及を急いでいる。
19年秋ごろから、ワンタイムパスワードが破られるケースが目立ち始めているという。犯人側がSMS(ショートメッセージサービス)で、銀行の偽サイトに利用者を誘導してIDと固定パスワードを盗み取ったうえ、その情報を基に正規のネットバンキングにログイン。銀行から利用者にワンタイムパスワードが送られるタイミングに合わせ、偽サイト上に新たな画面を表示し、ワンタイムパスワードも入力させる手口だ。
不正送金被害は19年9月から急増し、10月の被害は397件、被害額は5億1900万円。11月はさらに増えて578件、7億8700万円となり、月間としての件数、被害額とも過去最悪だった。19年全体の被害件数は1813件で、過去最多だった14年(1876件)に迫る水準だった。
フィッシングサイトを利用しての詐欺被害が増加しているそうです。
最近、SMSを利用した認証とか増えているので、それを悪用した詐欺がSMSを使うケースが増えています。
宅配便の不在を装ったやつとかも話題になりましたね。
ワンタイムパスワード自身が突破されたわけじゃない
まず、ワンタイムパスワードというシステム自体が突破されたわけではありません。あくまでも「フィッシングサイトへの誘導」が前提となっています。
過剰反応してオンラインバンキングを辞めるという話ではなく、利用者側のセキュリティ意識で随分と改善できます。
- 電子メール
- SMS
この二つから銀行のサービスにログインするのはやめておいた方が良いです。
オンラインバンキングはアプリ利用が安心
安全性が高いのはやはり「アプリ」ですね。AppStoreやGooglePlayなどのアプリストアにフィッシング詐欺アプリが入り込む可能性は極めて低いです。
スマホ側の指紋認証や顔認証でログインするような設定もでき、こうしたケースでは不正送金被害に遭いづらいはずです。
WEBブラウザを利用する場合はブックマーク推奨
WEBブラウザ(ChromeやFirefox、Safariなど)を使って銀行サイトにアクセスする場合はメールやSMS経由ではなく、「ブックマーク」の機能を使って銀行にアクセスるようにするとよいです。
こうすることでフィッシングサイトへの誘導リスクを大幅に下げることができます。
直接の場合URLの確認を忘れない
事情でブックマーク経由ではなく、URLをクリックして銀行サイトに行かなければならないという場合、アドレス(URL)を必ず確認するようにしましょう。
フィッシングサイトはもっともらしいアドレス(URL)を付けていることがありますが、重要なのは最後の部分です。
http://mufg.bank.example.com
のようなアドレスの場合、mufgやbankなど、三菱UFJ銀行を思わせるような表記がありますが、その部分はサイトオーナーが自由に変更できる部分です。「example.com」という最後の部分がそのドメイン所有者のアドレスです。
この部分が公式のアドレスと違うような場合は偽サイトの可能性が高いです。
ちなみに、銀行に限らず、Amazonのフィッシングメールなども同じです。
http://amazon.account.example.com
みたいな感じでAmazonという文字列があっても信用してはダメで最後の部分を確認するようにしてください。
セキュリティ認証が強い銀行
住信SBIネット銀行には、スマート認証という機能があります。
こちらはスマートフォンアプリを利用して取引の承認を行う機能が付いています。
仮にパスワードが漏洩するなどして不正送金をされようとしたとしても、その取引はお手元のスマホアプリで「承認」をしない限り実行されません。
普段から送金時に「アプリで承認」をしなければならないのは面倒かとは思いますが、こちらはワンタイムパスワードよりもより強固でスマホを物理的に奪われたりしない限りは安心できます。
スマート認証イチイチ面倒……と思っていましたが、やっぱり設定しておきます。
